日志清除技术应用

日志清除技术应用2023/3/202内容提纲Windows日志原理IPC$空链接LINUX日志原理防御技术和方案Windows日志原理

日志文件是一类文件系统的集合，通过对日志进行统计、分析、综合，可有效的掌握系统的运行状况。因此，无论是系统管理员还是黑客都极其重视日志文件。管理员可以通过日志文件查看系统的安全性，找到入侵者的IP地址和各种入侵证据。黑客会在入侵成功后迅速清除对自己不利的日志，以免留下蛛丝马迹。2023/3/203Windows日志原理

Windows的日志文件通常有应用程序日志，安全日志、系统日志、IIS日志等等，可能会根据服务器所开启的服务不同。2023/3/204Windows日志原理

各日志文件的默认位置如下：安全日志文件：%systemroot%\system32\config\SecEvent.EVT系统日志文件：%systemroot%\system32\config\SysEvent.EVT应用程序日志文件：%systemroot%\system32\config\AppEvent.EVTInternet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\ms\，默认每天一个日志Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志2023/3/205Windows日志原理

2023/3/206在事件日志中，以下面几种情况来表示整个系统运行过程中出现的事件：1）“错误”是指比较严重的问题，通常是出现了数据丢失或功能丢失；2）“警告”则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太少等；3）“信息”则是记录运行成功的事件。另外，安全日志则直接以成功审核和失败审核来标识事件的成功与否。IPC$空链接在清除系统日志、安全日志和应用程序日志时，我们需要首先和目标机器建立IPC$空链接。IPC$(InternetProcessConnection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。2023/3/207IPC$空链接IPC$有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。在初次安装系统时就打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低2023/3/208IPC$空链接2023/3/209删除远程主机日志时可能会用到的相关命令：1）建立空连接:netuse\\IP\ipc$""/user:""2）建立非空连接:netuse\\IP\ipc$"psw"/user:"account"3）查看远程主机的共享资源netview\\IP4）查看本地主机的共享资源（可以看到本地的默认共享）netshare5）得到远程主机的用户名列表nbtstat-AIPIPC$空链接6）得到本地主机的用户列表netuser7）查看远程主机的当前时间nettime\\IP8）显示本地主机当前服务netstart9）启动/关闭本地服务netstart服务名/ynetstop服务名/y10）映射远程共享:netusez:\\IP\baby此命令将共享名为baby的共享资源映射到z盘2023/3/2010IPC$空链接11）删除共享映射netusec:/del删除映射的c盘，其他盘类推netuse*/del/y删除全部12）向远程主机复制文件copy\路径\srv.exe\\IP\共享目录名，如：copyccbirds.exe\\*.*.*.*\c即将当前目录下的文件复制到对方c盘内13）远程添加计划任务at\\ip时间程序名，如：at\\11:00love.exe2023/3/2011LINUX日志LINUX网管员主要是靠系统的LOG，来获得入侵的痕迹。当然也有第三方工具记录入侵系统的痕迹。主要的日志子系统：1.连接时间日志--由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。2.进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。3.错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。2023/3/2012常用的日志文件如下access-log：记录HTTP/web的传输acct/pacct：记录用户命令aculog：记录MODEM的活动btmp：记录失败的记录lastlog：记录最近几次成功登录的事件和最后一次不成功的登录messages：从syslog中记录信息（有的链接到syslog文件）sudolog：记录使用sudo发出的命令sulog：记录使用su命令的使用syslog：从syslog中记录信息（通常链接到messages文件）utmp：记录当前登录的每个用户wtmp：一个用户每次登录进入和退出时间的永久记录xferlog：记录FTP会话2023/3/2013防御技术和方案

1）修改注册表从而禁止Guest访问事件日志2)对日志进行安全配置,更改日志默认大小3）防范ipc$入侵（1）禁止空连接进行枚举在本地安全设置－本地策略－安全选项－在'对匿名连接的额外限制'中做相应设置。（2）禁止默认共享a）查看本地共享资源运行-cmd-输入netshareb）删除共享（重起后默认共享仍然存在）netshareipc$/deletenetshar