如何查看服務器日誌

在清除事件日誌或向安全日誌寫入有關特權使用的事件是發生
SeShutDownPrivilege：關閉系統
SeTakeOwnershipPrivilege：取得文件或其餘對象的全部權.此事件可代表有一個攻擊者正在經過取得一個
對象的全部權來嘗試繞過當前的安全設置

517:日誌事件被清除或修改。此事件能夠代表一個攻擊者企圖經過修改或刪除日誌文件來掩蓋他們的蹤影
612:更改了審計策略。此事件能夠代表一個攻擊者企圖經過修改審計策略來掩蓋他們的蹤影
如爲了掩蓋刪除日誌文件的蹤影他可能先關閉系統事件的審覈。


2、經過篩選器來查看重要性事件
方法：點擊事件查看器窗口中的查看菜單，點擊篩選，點擊篩選器，定義本身的篩選選項，肯定便可。

3、在查看完成以後備份事件
方法：點擊事件查看器窗口中的操做菜單，點擊導出列表，選擇保存路徑和文件名，若是保存類型
選擇了「文本文件（製表符分隔）」，將會保存爲文本文件。若是保存類型
選擇了「文本文件（逗號分隔）」，將會保存爲Excel文件。
固然也能夠選擇另存日誌文件。
若是感受這樣保存麻煩也可使用微軟的resourceKit工具箱中的dumpel.exe配合計劃任務能夠實現
按期備份系統日誌。

4、刪除檢查過的日誌文件，日誌文件越少越容易發現問題。

5、配合系統日誌程序日誌檢測可疑內容

6、使用EventCombMT工具
EventCombMT是一個功能強大的多線程工具，它可同時分析許多服務器中的事件日誌，爲包含在搜索條件中的
每一臺服務器生成一個單獨的執行線程。利用它你能夠定義
要搜索的單個事件ID或多個事件ID，用空格分格
定義一個要搜索的事件ID範圍。如:528>ID<540
將搜索限定爲特定的事件日誌。如：只搜索安全日誌
將搜索限定爲特定的事件消息。如：成功審計
將搜索限制爲特定的事件源。
搜索事件說明內的特定文本。
定義特定的時間間隔以便從當前日期和時間向後掃描
注：要使用該工具您須要安裝WindowsServer2003ResourceKitTools.安裝完成後在命令提示符下輸入EventCombMT便可
下載地址：http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en



4、經過端口檢測入侵攻擊

端口是攻擊者最喜歡的進入的大門,因此咱們要養成查看端口的習慣

1、經過netstat命令。CMD提示符下
netstat-ano:檢測當前開放的端口，並顯示使用該端口程序的PID。
netstat-n:檢測當前活動的鏈接
若是經過以上命令發現有不明的端口開放了，不是中了木馬就是開放新的服務。
處理方法：
打開任務管理器，在查看菜單下選擇列，勾選PID，點擊肯定。而後根據開放端口使用的PID在任務管理器中
查找使用該端口的程序文件名。在任務管理器殺掉該進程。
若是任務管理器提示殺不掉，可使用ntsd命令，格式以下：c:\>ntsd-cq-pPID。
若是使用該PID的進程不是單獨的程序文件而是調用的Svchost或lsass(如今有不少木馬能夠作到這一點)。那麼
須要你有很志業的知識才能查找到。個人經驗是下面的幾種方法配合使用

在服務中查找使用Svchost或lsass的可疑服務。在命令提示符下輸入tasklist/svc能夠查看進程相關聯的
PID和服務。
利用Windows優化大師中的進程管理去查找Svchost或lsass中可疑的.dll。
檢查System32下最新文件:在命令提示符sytem32路徑下輸入dir/od
利用hijackthis工具能夠查出系統啓動的程序名和dll文件.下載地址：http://www.cl520.net/soft/3992.htm

發現可疑的dll後若是不知道是否爲病毒文件去Google吧

2、使用ActivePort軟件
ActivePort軟件安裝後用的是圖形化界面，它能夠顯示全部開放的端口，當前活動的端口，並能夠將端口、
進程、程序名路徑相關聯。而且能夠利用它來中斷某個活動的鏈接


5、經過進程監控可疑程序
若是發現不正常的進程，及時殺掉，若是在任務管理器中沒法殺掉能夠去查找可疑的服務，將服務關閉後
再殺，固然也能夠在提示符下利用ntsd命令。格式爲：ntsd-cq-pPID



6、利用Svcmon.exe(serviceMonitoringTool)監視已安裝的服務

這個工具能夠用來監視本地或者是遠程計算機服務的狀態改變，當它發現一個服務開始或者是中止的時候，
這個工具將會經過發e-mail或者是ExchangeServer來通知你知道。要想使用這個工具須要安裝ResourceKit。
可是去MS的網站http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下載的ResourceKit安裝後沒有找到這個工具，
其實還有不少工具這個ResourceKit沒有。可能這是一個簡單的ResourceKit包。後來又安裝了2003
光盤上的SupportTools也沒找到它。我使用了2000的
ResourceKit安裝光盤，安裝後，在2003上同樣可使用。不過我用了後發現系統會不穩定，因此最好找2003的ResourceKit安裝光盤。

這個工具由兩部分組成，Svcmon.ex e在你安裝好ResourceKit後，默認的位於C:\ProgramFiles\ResourceKit
文件夾下，你要將其拷貝到%SystemRoot%\System32下，而後在命令提示符下輸入Smconfig將打開
配置嚮導。是圖形界面，注意在ExchangeRecipients那裏添如你要提醒的用戶的Email。其餘的
按照指示作就能夠了。
若是發現有不正常的服務可使用ResourceKit中的Instsrv.exe移除服務
使用格式：instsrvservicenameRemove



7、檢測System32下的系統文件
在安裝好系統後和安裝新的軟件後對System32文件夾作備份，而後用COMP命令按期檢查該文件的內容查找
可疑的文件夾或文件。COMP命令的使用格式爲:命令提示符下
COMPdata1data2/L/C
data1指定要比較的第一個文件的位置和名稱。
data2指定要比較的第二個文件的位置和名稱。
/L顯示不一樣的行數。
/C比較文件時不分ASCII字母的大小寫。
注：MS的WinDiff工具能夠圖形化比較兩個文件



8、利用Drivers.exe來監視已安裝的驅動程序
如今有的攻擊者將木馬添加到驅動程序中，咱們能夠經過MS提供的Drivers工具來進行檢測。
在運行此工具的計算機上，此工具會顯示安裝的全部設備驅動程序。該工具的輸出包括一些信息，其中
有驅動程序的文件名、磁盤上驅動程序的大小，以及連接該驅動程序的日期。連接日期可識別任何新安
裝的驅動程序。若是某個更新的驅動程序不是最近安裝的，可能表示這是一個被替換的驅動程序。
注：Drivers.exe工具在MS的的網站下載的WindowsServer2003ResourceKitTools中也沒有這個工具
我是使用的2000的。


9、檢查本地用戶和組
這個想來不用說太多，你們都知道的了，須要注意的一點是，若是使用命令行的netuser來查看，將沒法查看
到隱藏的用戶（即用戶名後加了$的），因此最好使用管理單元來查看全部用戶。


10、檢查網頁文件，特別是有與數據庫鏈接的文件的日期，如今有的攻擊者入侵後會在網頁代碼中留下後門，
因此若是日期發了變化，那就要注意查看了。


11、附Server2003EnterpriseEdition安裝IIS和SQL2000後默認啓動的服務、進程、端口
1、已啓動的服務
AutomaticUpdate、COM+EventSystem、ComputerBrowser、CryptographicServices、DHCPClient、
DistributedfileSystem、DistributedlinkTracking、Distributedtransaction、DNSClient、
ErrorReporting、Eventlog、HelpAndSupports、IPSECServices、LogicalDiskManager、
NetworkLocation、plugandplay、PrintSpooler、RemoteProcedureCall、RemoteRegistry、
SecondaryLogon、SecurityAccounts、Server、SystemEventNetification、TaskScheduler、
TCP/IPNetBIOS、TerminalServices、WindowsInstaller、WindowsManagementInstrumentation、
WindowsTime、WirelessConfig、Workstation。

如下爲安裝IIS（只有WEB服務）後新加的啓動的服務
AddService、Com+systemapplication、HttpSSL、IISAdminService、
networkconnections、protectedstorage、shellhardware、wordwideweb。

如下爲安裝SQL2000後新增長的已啓動的服務
MicrosoftSearch、NTLMSecurity、MSSQLServer

2、已啓動的進程
ctfmon:admin、wpabaln:admin、explorer:admin、wmiprvse、dfssvc、msdtc:networkservice、
sploolsv、lsass、conime:admin、services、

svchost:7個其中localservice2個、networkservice1個、winlogon、csrss、smss、

system、systemidleprocess。共計：22個進程，其中admin、networkservice、localservice表示用戶名
未註明的爲System用戶

如下爲安裝IIS後新增長的進程
wpabaln:admin、inetinfo、

如下爲安裝SQL後新增長的進程
mssearch、sqlmangr、wowexecadmin、sqlservr


3、已開啓的端口
TCP:135、445、1025、1026、139
udp：445、500、1027、4500、123

如下爲安裝IIS後新增長的端口
tcp:80、8759注意8759這個端口是第一次安裝後自動選擇的一個端口，因此每臺機會不一樣

如下爲安裝SQL後新增長的端口

tcp:1433
udp:68、1434

若是啓用防火牆後將開啓如下端口
TCP：3001、3002、3003