關(guān)于2000 server安全日志的一些粗淺的研究結(jié)果

frie 2005-08-09

展開全文

請(qǐng)大家一起來(lái)保護(hù)我們自己，以下是我關(guān)于2000 server安全日志的一些粗淺的研究結(jié)果，目的是拋菜饅頭引肉包子，希望有高手來(lái)具體指點(diǎn)一下我這樣的入門者，如何反跟蹤
   。
   今天看了一部網(wǎng)絡(luò)方面的A片，情節(jié)還是老套路，什么國(guó)家安全局、情報(bào)局等等的什么玩意沒什么好說(shuō)的?？赐旰螅液鋈粚?duì)跟蹤產(chǎn)生了興趣，到底我們?cè)诰W(wǎng)絡(luò)上的活動(dòng)會(huì)產(chǎn)生什么樣的痕跡呢？OK，我先對(duì)我的機(jī)器開始了虛擬的攻擊，用流光的2001對(duì)我的ftp密碼字典攻擊。然后我打開計(jì)算機(jī)管理工具，看系統(tǒng)事件的報(bào)告，好家伙全是黃色的警告，你登陸失敗就會(huì)產(chǎn)生一個(gè)警告，如果只有一兩個(gè)問(wèn)題不大可幾百個(gè)黃色的排在一起傻瓜都會(huì)知道自己處于被攻擊的狀態(tài)！點(diǎn)擊一個(gè)item查看它的詳細(xì)信息，呵呵，還好只有

   “該服務(wù)器因?yàn)殄e(cuò)誤登錄失敗: 未知的用戶名或錯(cuò)誤密碼。而無(wú)法登錄至 Windows NT 賬號(hào) ‘a(chǎn)dministrator‘。此數(shù)據(jù)為錯(cuò)誤碼。
   若要獲取關(guān)于此消息的更多的信息，請(qǐng)?jiān)L問(wèn) Microsoft 聯(lián)機(jī)支持站點(diǎn): http://www.microsoft.com/contentredirect.asp 。”

   還沒有ip信息。但忽然覺得沒有道理啊，不可能有這么弱智的設(shè)計(jì)啊，獲得對(duì)方的ip不是什么難的事情，沒有道理不把這個(gè)信息加進(jìn)去。在仔細(xì)看看事件的來(lái)源字段寫著"msftpsvc1",這是什么？？？?。。“阉阉饕幌抡业搅?，有一個(gè)system32/logfiles/msftpsvc1 目錄。打開一看就是這個(gè)了，里面有很多ex010106這樣格式的文件，數(shù)字部分對(duì)應(yīng)的應(yīng)該就是日期。打開今天的一看，靠，全在這里面，每條登陸ftp的信息都有包括最煩人的ip地址。好了，這個(gè)就是ftp的安全日志了。那么其他的日志在什么地方呢？肯定logfiles下面還有，果然在w35vc1下面是www服務(wù)的日志文件。于是我又對(duì)http登陸方式進(jìn)行了一些虛擬攻擊，發(fā)現(xiàn)里面也會(huì)有詳細(xì)記載包括401這樣http返回的錯(cuò)誤碼，如果看到自己保護(hù)的頁(yè)面出現(xiàn)一大串401就可以判斷遭到攻擊，同樣通過(guò)觀察ip就知道攻擊者的大概位置。不過(guò)這種事件并不會(huì)在事件查看器中產(chǎn)生警告信息，同時(shí)在日志里面也沒有關(guān)于登陸者使用的用戶名這一信息，這一點(diǎn)還是微軟做得不夠到位。

   同時(shí)我發(fā)現(xiàn)事件查看器里面的信息好象是各種信息的一種匯總，所以我有理由相信它一定不是直接調(diào)用日志文件。我打開事件管理器的操作菜單發(fā)現(xiàn)里面有打開日志文件這一選項(xiàng)，發(fā)現(xiàn)它有的是一種.evt格式的文件，顯然不是我們上面看的日志文件，于是——搜索——發(fā)現(xiàn)在/system32/config的目錄下面有三個(gè).evt的文件，分別是sysevent.evt secevent.evt appevent.evt ，其中app是程序的，sys是系統(tǒng)的，sec應(yīng)該就是安全的可奇怪的是用事件查看器并不能查看，會(huì)出現(xiàn)文件正被使用的信息。其他兩個(gè)打開后和開始看到的沒有什么區(qū)別。用notepad打開會(huì)發(fā)現(xiàn)不是文本格式的文件，也就是說(shuō)很難或更改里面的東西很麻煩。這就有點(diǎn)不好辦了，我們可以更改日志文件擦自己的腳印，而這個(gè)怎么搞呢？刪掉？那還不是讓他知道有人入侵了嗎。好在里面沒有ip放在那里也沒有太大關(guān)系。所以說(shuō)要不讓對(duì)方發(fā)現(xiàn)自己的ip還有辦法，要讓他不知道被入侵就有點(diǎn)難了，請(qǐng)高手指點(diǎn)。

   最后談?wù)勔恍└邢?。雖說(shuō)我還只是知識(shí)大門前向里張望的小孩，但怎么說(shuō)也有一些收獲了。回想以前自己做的事情真有點(diǎn)后怕，不要誤會(huì)，我還沒有黑過(guò)任何一個(gè)主頁(yè)，以后也不愿意干，我覺得有意思的東西不是干這個(gè)，知識(shí)的不斷積累才最有意思。我后怕的是我在很多地方的腳印，太多了，現(xiàn)在想去擦也來(lái)不及了也記不清了，因?yàn)榭傆腥瞬恢v道理，我怕麻煩。所以我想給比我還后來(lái)的一些同志們提幾點(diǎn)注意事項(xiàng)。
   1.不要在國(guó)內(nèi)做實(shí)驗(yàn)，雖然國(guó)內(nèi)漏洞多成功的機(jī)會(huì)大但是風(fēng)險(xiǎn)也大，國(guó)外相對(duì)安全多了，只要你是以知識(shí)為樂趣不是以破壞為樂趣，我相信基本是不會(huì)惹什么麻煩的。（唉！當(dāng)時(shí)怎么沒有人對(duì)我這樣說(shuō)）
   2.不要碰自己不熟悉的系統(tǒng)，我現(xiàn)在雖然也研究一些unix但在一些基本概念還不清楚的情況下我是不去碰的。呵呵，NT都還剛起步，以后的日子還長(zhǎng)呢。
   3.確定目標(biāo)之前先想好有多少把握能破解密碼，把握不大就先別下手等技術(shù)成熟后再來(lái)。因?yàn)槿绻隳苓M(jìn)去的話就能擦自己的腳印否則的話就只有看著腳印在上面呆著了。
   4.用web命令行攻擊盡量使用代理。這個(gè)很重要，因?yàn)橛写磉@一層風(fēng)險(xiǎn)就小很多了，前提還是以知識(shí)為目的。順便提一下在IE上設(shè)置代理只在IE上有用，也就是說(shuō)如果你用基于www服務(wù)設(shè)計(jì)的攻擊軟件的話一樣會(huì)留下你的ip腳印，但不包括我的unicode1.1，不知道有沒有可以設(shè)置代理的攻擊軟件最好是能實(shí)現(xiàn)多重代理的，希望有高手能提供信息。我想研究一下代理，看能否在我以后的軟件上加這個(gè)功能，不過(guò)很難因?yàn)槲椰F(xiàn)在對(duì)代理機(jī)制還很迷茫。順便問(wèn)一下IE的代理高級(jí)設(shè)置上還有ftp代理的設(shè)置等等，他們有什么用，怎么用，哪里可以找到他們的代理服務(wù)器，是不是如果我設(shè)置了ftp代理，使用ftp就象瀏覽www一樣會(huì)有個(gè)中間服務(wù)器接應(yīng)呢？真的好希望有人能指點(diǎn)我，一個(gè)人研究這些東西真的太難，太費(fèi)時(shí)間，要是有一群人一起研究就好了，大家分別研究成果共享那多好啊，畢竟科學(xué)不是孤膽英雄的事業(yè)。綠盟要人嗎，招我進(jìn)去好嗎？（就你這樣的，別為難綠盟了——畫外音）好向往這樣的工作??！

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自： frie > 《轉(zhuǎn)載》

舉報(bào)/認(rèn)領(lǐng)