FTP日誌分析+WWW日誌分析+exchange OWA日誌分析
1.FTP日誌分析
FTP日誌和WWW日誌在默認狀況下,每日生成一個日誌文件,包含了該日的一切記錄
,文件名一般爲ex(年份)(月份)(日期)。例如ex090619,就是2009年6月19日產生
的日誌,用記事本可直接打開,普通的有***行爲的日誌通常是這樣的:
#Software:MicrosoftInternetInformationServices5.0(微軟IIS5.0)
#Version:1.0(版本1.0)
#Date:200906190315(服務啓動時間日期)
#Fields:timecipcsmethodcsuristemscstatus
0315127.0.0.1[1]USERadministator331(IP地址爲127.0.0.1用戶名爲
administator試圖登陸)
0318127.0.0.1[1]PASS–530(登陸失敗)
032:04127.0.0.1[1]USERnt331(IP地址爲127.0.0.1用戶名爲nt的用戶試圖登陸)
032:06127.0.0.1[1]PASS–530(登陸失敗)
032:09127.0.0.1[1]USERcyz331(IP地址爲127.0.0.1用戶名爲cyz的用戶試圖登陸
)
0322127.0.0.1[1]PASS–530(登陸失敗)
0322127.0.0.1[1]USERadministrator331(IP地址爲127.0.0.1用戶名爲
administrator試圖登陸)
0324127.0.0.1[1]PASS–230(登陸成功)
0321127.0.0.1[1]MKDnt550(新建目錄失敗)
0325127.0.0.1[1]QUIT–550(退出FTP程序)
從日誌裏就能看出IP地址爲127.0.0.1的用戶一直試圖登陸系統,換了四次用戶名和
密碼才成功,管理員當即就能夠得知這個IP至少有***企圖!而他的***時間、IP地
址以及探測的用戶名都很清楚的記錄在日誌上。如上例***者最終是用Administrator用
戶名進入的,那麼就要考慮此用戶名是否是密碼失竊?仍是被別人利用?接下來就要想
想系統出什麼問題了。
2.WWW日誌分析
WWW服務同FTP服務同樣,產生的日誌也是在%systemroot%\system32
\LogFiles\W3SVC1目錄下,默認是每日一個日誌文件。這裏須要特別說明一下,由於Web
的日誌和其餘日誌不一樣,它的分析要細緻得多,須要管理員有豐富的***、防禦知識,
而且要足夠的細心,否則,很容易遺漏那種很簡單的日誌,而一般這樣的日誌又是很是
關鍵的。因爲咱們不可能一個一個分析,因此這裏舉個簡單例子:
#Software:MicrosoftInternetInformationServices5.0
#Version:1.0
#Date:2009061903:091
#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs
(UserAgent)
2009061903:091192.168.1.26192.168.1.3780GET/iisstart.asp200Mozilla/4.0+
(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2009061903:094192.168.1.26192.168.1.3780GET/pagerror.gif200Mozilla/4.0+
(compatible;+MSIE+5.0;+Windows+98;+DigExt)
經過分析第六行,能夠看出2009年6月19日,IP地址爲192.168.1.26的用戶經過訪問
IP地址爲192.168.1.37機器的80端口,查看了一個頁面iisstart.asp,這位用戶的瀏覽
器爲compatible;+MSIE+5.0;+Windows+98+DigExt,有經驗的管理員就可經過安全日誌、
FTP日誌和WWW日誌來肯定***者的IP地址以及***時間。
3.exchange OWA 日誌分析:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-06-25 01:34:42
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username
c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2009-06-25 03:24:51 192.168.1.30 GET /exchange/ - 80 - 222.66.72.246
Mozilla/4.0+
(2009-06-25 03:24:51 192.168.1.30的客戶機登錄經過80端口登錄郵件OWA)
(compatible;+MSIE+7.0;+Windows+NT+5.1;+icafe8;+.NET+CLR+2.0.50727;+.NET+CLR+3
.0.04506.30;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729) 401 2 2148074254
2009-06-25 03:24:57 192.168.1.30 GET /exchange/ - 80 - 192.168.1.1
(請求 /exchange/目錄)
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322) 401 1 0
2009-06-25 03:24:57 192.168.1.30 GET /exchange/ - 80 BRL\luobin 192.168.1.1
(使用賬戶 luobin 登錄 成功!!!)
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322) 200 0 0
2009-06-25 03:24:57 192.168.1.30 GET /exchange/luobin/收件箱/ Cmd=contents 80
- 192.168.1.1 Mozilla/4.0+
(查看了luobin 賬戶的 收件箱!!!)
4.日誌文件的移位保護
經過上面的幾個辦法,你們應該能夠檢測普通的系統***了,但話說回來,若是上
面的***任何一個成功了,那如今咱們都看不到日誌了,早被***者清空了,因此,爲
了防患於未然,咱們仍是針對常見的刪除日誌的辦法,把日誌挪挪吧。
好多文章介紹對事件日誌移位能作到對系統系統很好的保護,移位雖是一種保護辦
法,但只要在命令行輸入dirc:\*.evt/s,一下就可查找到事件日誌位置,
C:\Documents and Settings\Administrator>dir c:\*.evt/s
驅動器 C 中的卷沒有標籤。
c:\WINDOWS\system32\config 的目錄
2009-07-14 11:23 131,072 AppEvent.Evt
2009-07-13 20:02 65,536 DnsEvent.Evt
2009-07-13 20:02 65,536 NTDS.Evt
2009-07-13 20:02 65,536 NtFrs.Evt
2009-07-14 08:56 27,131,904 SecEvent.Evt
2009-07-13 20:02 458,752 SysEvent.Evt
再刪除可容易了,那怎麼辦呢?其實日誌移位要經過修改註冊表來完成,找到註冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog下面的
Application、Security、System幾個子鍵,分別對應「應用程序日誌」、「安全日誌」
、「系統日誌」。如何修改呢?下面咱們具體來看看Application子鍵:File項就是「應
用程序日誌」文件存放的位置,把此鍵值改成要存放日誌文件的文件夾,咱們再把%
systemroot%\system32\config\appevent.evt文件拷貝到此文件夾,再重啓機器就能夠
了。在此介紹移位的目的是爲了充分利用Windows2003在NTFS格式下的「安全」屬性,如
果不移位也沒法對文件進行安全配置操做,右擊移位後的「文件夾選擇屬性」,進入「
安全」選項卡,不選擇「容許未來自父系的可繼承權限傳播給該對象」,添加「System
」組,分別給Everyone組「讀取」權限,System組選擇除「徹底控制」和「修改」的權
限。而後再將系統默認的日誌文件512KB大小改成你所想要的大小,如20MB。進行了上面
的配置後,直接經過DelC:\*.Evt/s/q來刪除是刪不掉的,相對要安全不少了。
轉載文章請標明:該文章轉自 羅斌原創技術文章:http://luobin44.51.com 〖羅斌原創〗
FTP日誌和WWW日誌在默認狀況下,每日生成一個日誌文件,包含了該日的一切記錄
,文件名一般爲ex(年份)(月份)(日期)。例如ex090619,就是2009年6月19日產生
的日誌,用記事本可直接打開,普通的有***行爲的日誌通常是這樣的:
#Software:MicrosoftInternetInformationServices5.0(微軟IIS5.0)
#Version:1.0(版本1.0)
#Date:200906190315(服務啓動時間日期)
#Fields:timecipcsmethodcsuristemscstatus
0315127.0.0.1[1]USERadministator331(IP地址爲127.0.0.1用戶名爲
administator試圖登陸)
0318127.0.0.1[1]PASS–530(登陸失敗)
032:04127.0.0.1[1]USERnt331(IP地址爲127.0.0.1用戶名爲nt的用戶試圖登陸)
032:06127.0.0.1[1]PASS–530(登陸失敗)
032:09127.0.0.1[1]USERcyz331(IP地址爲127.0.0.1用戶名爲cyz的用戶試圖登陸
)
0322127.0.0.1[1]PASS–530(登陸失敗)
0322127.0.0.1[1]USERadministrator331(IP地址爲127.0.0.1用戶名爲
administrator試圖登陸)
0324127.0.0.1[1]PASS–230(登陸成功)
0321127.0.0.1[1]MKDnt550(新建目錄失敗)
0325127.0.0.1[1]QUIT–550(退出FTP程序)
從日誌裏就能看出IP地址爲127.0.0.1的用戶一直試圖登陸系統,換了四次用戶名和
密碼才成功,管理員當即就能夠得知這個IP至少有***企圖!而他的***時間、IP地
址以及探測的用戶名都很清楚的記錄在日誌上。如上例***者最終是用Administrator用
戶名進入的,那麼就要考慮此用戶名是否是密碼失竊?仍是被別人利用?接下來就要想
想系統出什麼問題了。
2.WWW日誌分析
WWW服務同FTP服務同樣,產生的日誌也是在%systemroot%\system32
\LogFiles\W3SVC1目錄下,默認是每日一個日誌文件。這裏須要特別說明一下,由於Web
的日誌和其餘日誌不一樣,它的分析要細緻得多,須要管理員有豐富的***、防禦知識,
而且要足夠的細心,否則,很容易遺漏那種很簡單的日誌,而一般這樣的日誌又是很是
關鍵的。因爲咱們不可能一個一個分析,因此這裏舉個簡單例子:
#Software:MicrosoftInternetInformationServices5.0
#Version:1.0
#Date:2009061903:091
#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs
(UserAgent)
2009061903:091192.168.1.26192.168.1.3780GET/iisstart.asp200Mozilla/4.0+
(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2009061903:094192.168.1.26192.168.1.3780GET/pagerror.gif200Mozilla/4.0+
(compatible;+MSIE+5.0;+Windows+98;+DigExt)
經過分析第六行,能夠看出2009年6月19日,IP地址爲192.168.1.26的用戶經過訪問
IP地址爲192.168.1.37機器的80端口,查看了一個頁面iisstart.asp,這位用戶的瀏覽
器爲compatible;+MSIE+5.0;+Windows+98+DigExt,有經驗的管理員就可經過安全日誌、
FTP日誌和WWW日誌來肯定***者的IP地址以及***時間。
3.exchange OWA 日誌分析:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-06-25 01:34:42
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username
c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2009-06-25 03:24:51 192.168.1.30 GET /exchange/ - 80 - 222.66.72.246
Mozilla/4.0+
(2009-06-25 03:24:51 192.168.1.30的客戶機登錄經過80端口登錄郵件OWA)
(compatible;+MSIE+7.0;+Windows+NT+5.1;+icafe8;+.NET+CLR+2.0.50727;+.NET+CLR+3
.0.04506.30;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729) 401 2 2148074254
2009-06-25 03:24:57 192.168.1.30 GET /exchange/ - 80 - 192.168.1.1
(請求 /exchange/目錄)
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322) 401 1 0
2009-06-25 03:24:57 192.168.1.30 GET /exchange/ - 80 BRL\luobin 192.168.1.1
(使用賬戶 luobin 登錄 成功!!!)
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322) 200 0 0
2009-06-25 03:24:57 192.168.1.30 GET /exchange/luobin/收件箱/ Cmd=contents 80
- 192.168.1.1 Mozilla/4.0+
(查看了luobin 賬戶的 收件箱!!!)
4.日誌文件的移位保護
經過上面的幾個辦法,你們應該能夠檢測普通的系統***了,但話說回來,若是上
面的***任何一個成功了,那如今咱們都看不到日誌了,早被***者清空了,因此,爲
了防患於未然,咱們仍是針對常見的刪除日誌的辦法,把日誌挪挪吧。
好多文章介紹對事件日誌移位能作到對系統系統很好的保護,移位雖是一種保護辦
法,但只要在命令行輸入dirc:\*.evt/s,一下就可查找到事件日誌位置,
C:\Documents and Settings\Administrator>dir c:\*.evt/s
驅動器 C 中的卷沒有標籤。
c:\WINDOWS\system32\config 的目錄
2009-07-14 11:23 131,072 AppEvent.Evt
2009-07-13 20:02 65,536 DnsEvent.Evt
2009-07-13 20:02 65,536 NTDS.Evt
2009-07-13 20:02 65,536 NtFrs.Evt
2009-07-14 08:56 27,131,904 SecEvent.Evt
2009-07-13 20:02 458,752 SysEvent.Evt
再刪除可容易了,那怎麼辦呢?其實日誌移位要經過修改註冊表來完成,找到註冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog下面的
Application、Security、System幾個子鍵,分別對應「應用程序日誌」、「安全日誌」
、「系統日誌」。如何修改呢?下面咱們具體來看看Application子鍵:File項就是「應
用程序日誌」文件存放的位置,把此鍵值改成要存放日誌文件的文件夾,咱們再把%
systemroot%\system32\config\appevent.evt文件拷貝到此文件夾,再重啓機器就能夠
了。在此介紹移位的目的是爲了充分利用Windows2003在NTFS格式下的「安全」屬性,如
果不移位也沒法對文件進行安全配置操做,右擊移位後的「文件夾選擇屬性」,進入「
安全」選項卡,不選擇「容許未來自父系的可繼承權限傳播給該對象」,添加「System
」組,分別給Everyone組「讀取」權限,System組選擇除「徹底控制」和「修改」的權
限。而後再將系統默認的日誌文件512KB大小改成你所想要的大小,如20MB。進行了上面
的配置後,直接經過DelC:\*.Evt/s/q來刪除是刪不掉的,相對要安全不少了。
轉載文章請標明:該文章轉自 羅斌原創技術文章:http://luobin44.51.com 〖羅斌原創〗
本文出自 「
羅斌我的原創天地」 博客,請務必保留此出處
http://luobin.blog.51cto.com/882147/185396
相關文章
- 1. [日誌分析] Access Log 日誌分析
- 2. 日誌分析
- 3. Nginx日誌分析
- 4. GC日誌分析
- 5. awstats日誌分析
- 6. GC 日誌分析
- 7. squid日誌分析
- 8. ANR日誌分析
- 9. hadoop日誌分析
- 10. DHCP 日誌分析
- 更多相關文章...
- • SQLite 日期 & 時間 - SQLite教程
- • 互聯網系統應用架構基礎分析 - 紅包項目實戰
- • Git五分鐘教程
- • 算法總結-二分查找法
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. [日誌分析] Access Log 日誌分析
- 2. 日誌分析
- 3. Nginx日誌分析
- 4. GC日誌分析
- 5. awstats日誌分析
- 6. GC 日誌分析
- 7. squid日誌分析
- 8. ANR日誌分析
- 9. hadoop日誌分析
- 10. DHCP 日誌分析