4.3 关于网站安全日志
通过日志记录追查入侵者来源是一种最有效的办法, Windows NT的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等。接下来我们了解一下Windows NT服务器上的日志,以下以Windows 2000为例。
1.Windows NT服务器日志默认存放路径
● WWW日志
WWW日志是记录网站来访者的信息及活动情况,默认存放位置在:%WinDir%\system32\logfiles,如图4-15所示。
说明:
%WinDir%是指系统文件夹,默认情况下名为:Winnt。
图4-15 WWW日志记录属性
● FTP日志
FTP日志是记录登录者用户名及行为,默认存放位置在:
%WinDir%\system32\logfiles,如图4-16所示。
图4-16 FTP日志记录属性
● 其他日志
其他一些日志包括:程序日志、安全日志、系统日志、DNS日志,它们的默认位置存放位置在%WinDir%\system32\config。
2. Windows NT日志分析说明
FTP日志和WWW日志在默认情况下每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期)。
例如:ex020629,就是2002年6月29日产生的日志,如图4-17所示。
图4-17 FTP日志
该日志文件用记事本就可直接打开。首先来看看FTP的日志,如下例:
#Software: Microsoft Internet Information Services 5.0(微软IIS5.0)
#Version: 1.0 (版本1.0)
#Date: 20020629 0315(服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus
13:15:23 61.185.150.1 [1]USER administator 331(IP地址为61.185.150.1用户名为administator试图登录)
13:16:12 61.185.150.1 [1]PASS–530(登录失败)
13:19:09 61.185.150.6 [1]USER user 331(IP地址为61.185.150.6用户名为user的用户试图登录)
13:27:56 06 61.185.150.6[1]PASS–530(登录失败)
13:29:09 61.185.150.29 [1]USER root 331(IP地址为61.185.150.29用户名为root的用户试图登录)
13:31:22 61.185.150.29 [1]PASS–530(登录失败)
13:40:56 61.185.150.100 [1]USER administrator 331(IP地址为61.185.150.100用户名为administrator试图登录)
13:41:09 61.185.150.100 [1]PASS–230(登录成功)
13:42:00 61.185.150.100 [1]MKD ffhh 257(新建目录ffhh成功)
13:45:34: 61.185.150.100 [1]QUIT–550(退出FTP程序)
接下来看看关于WWW日志的分析,如下例:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20001023 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
2002-06-29 13:09:01 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2002-06-29 13:10:51 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
通过分析第5行,可以看出2002年06月29日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。
3. 日志安全建议
首先来看看入侵者入侵系统后是如何来删除这些日志的。
由于日志文件在后台运行,不能直接删除,所以首先要停止该日志的后台运行,接下来以删除WWW日志为例。
(1) 停止WWW日志的运行,在命令提示符下运行如下命令:
net stop w3svc
运行结果如图4-18所示。
图4-18 停止w3svc服务
(2) 进入默认日志文件夹后,使用Del命令删除当天日志。
(3) 入侵者为了不引起管理员怀疑会启动w3svc的运行,在命令提示符下运行如下 命令:
net start w3svc
恢复正常。
● 安全建议
更改日志默认存放的路径。
(1) 单击【开始】→【程序】→【管理工具】→【Internet信息服务】命令,在打开的【Internet信息服务】窗口中右键单击【Web管理】,在弹出的快捷菜单中选择【属性】命令,如图4-19所示。
图4-19 设置Web管理的属性
(2) 在弹出的【Web站点】选项卡中,单击【活动日志格式】按钮的【属性】按钮,如图4-20所示。
图4-20 Web站点属性
(3) 在【扩充日志记录属性】对话框中,单击【浏览】按钮并选择日志文件存放位置即可。
