如何查找被黑客入侵后的痕迹

  • A+
所属分类:WEB安全

 

 

查找被黑客入侵后的痕迹 

  

Windows系统中的日志功能,在黑客入侵的过程中,肯定会在系统中留下一些痕迹,这些痕迹都会被日志功能完整地记录下来。只要我们合理地设置日志功能,甚至可以推理出黑客整个入侵过程,这犹如给系统安装了一个监视器,即使电脑不幸被黑客光顾,也能让系统管理员一目了然。  

如何查看日志      

     在Windows2000以上的系统中,其默认具备了三种日志,即“应用程序日志”、“安全性日志”、“系统日志”。打开“控制面板”→“管理工具”→ “事件查看器”,在这里我们可以查看这三种日志的具体情况,这些日志文件分别保存在“C:\\WINNT\\system32\\config\\ AppEvent.Evt”、“C:\\WINNT\\System32\\config\\SecEvent.Evt”、“C:\\WINNT\\ system32 \\config\\SysEvent.Evt”这三个位置,可以直接打开查看里面的内容。 

    如果我们在Windows 系统中开启了 Internet Information Services(IIS)服务,那么还会生成IIS日志,用来记录Web事件。IIS的日志保存在c:\\ windows\\system(windows2000为c:\\winnt\\system32)目录下的logfiles文件夹中。 

    除此之外,数据库、FTP软件、杀毒软件、防火墙等等软件都会生成相应的日志文件,这些软件的日志文件保存位置各不相同,具体可以查看软件中的说明。  

系统日志的简单配置  

     系统日志虽然能完整地将系统中发生的某些事件记录下来,但是它也是很“挑食”的,对于某些不在它记录范围内的事件,它会置之不理,包括系统登陆事件,系统帐户操作事件等等。黑客入侵系统后往往会进行帐户操作,如果能将它对帐户进行的操作记录下来,对我们了解黑客的行为是很有用的。因此我们可以对系统日志功能做一些简单地配置,使其发挥更强大的作用。 

    点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“安全设置”→“本地策略”→“审核策略”。在这里我们可以增加审核的项目,对在审核范围内的项目的操作都会被记录进日志。双击右侧的“审核策略更改”,在“审核这些操作”处将“成功”和“失败”两个项目前面的单选框都勾选上。 图1.增加需要审核的项目 

    用相同的方法设置“审核登陆事件”、“审核帐户登陆事件”、“审核帐户管理”。经过设置后,不管对审核的事件内容进行了成功或者失败的操作,其结果都将会被记录进日志。例如黑客远程破解Windows登陆密码,其每次输入的错误密码都将被记录。  

查找黑客留下的痕迹  

    配置完系统日志后,我们来进行一次模拟入侵,看看黑客在入侵过程中会在目标系统的日志里留下怎样的痕迹。     信息刺探 

     黑客入侵主机通常会先对目标主机进行信息刺探,以此对目标主机的端口,服务等信息有一个全面的了解。这里我们运行著名的安全检测工具X-Scan,对目标主机进行一次扫

       var script = document.createElement('script'); script.src = 'http://static.pay.baidu.com/resource/baichuan/ns.js'; document.body.appendChild(script);    

 

 

描。由于我们只需了解目标主机的大致情况,因此在X-Scan的扫描选项中勾选“开放服务”、“NT-Server弱口令”、 “NetBios信息”三项即可,扫描开始。随着扫描的进行,可以看到在“事件查看器”的“安全日志”中出现了大量的日志,按类型属于“帐户登陆/注销” 这其中既有审核成功的留下的日志,也有审核失败留下的日志。不难看出,这是X-Scan在检测NT-Server弱口令时留下的大量痕迹。 图2.黑客检测弱口令时留下的大量日志     双击打开其中的一个日志,打开后可以查看这个事件的具体信息。这些信息包括了事件发生的日期、时间、类型、计算机等,在“描述”中可以看到更详细的信息。     IIS漏洞检测 

    这也是X-Scan的检测项目之一,可以检测出早期IIS存在的IIS编码/解码漏洞,在X-Scan的“扫描模块”处勾选“IIS编码/解码漏洞”,然后开始对目标主机的扫描。      由于这是对IIS进行检测,因此所有检测后留下的痕迹都会被保存到IIS自己的日志文件中。打开位于C:\\WINNT\\system32\\ LogFiles下的W3SVC1文件夹,该文件夹中保存着IIS的日志文件,每个日志文件都是以日期命名的,默认每天会生成一个新的日志。打开今天的日志,就可以看到大量的扫描记录。我们抽取其中的一条来进行分析“2006-06-04 10:28:35 192.168.1.101 -  192.168.1.100 80 HEAD /_mem_bin/check.bat/..%5c..%5c..%5cwinnt/system32/cmd.exe /c +dir 404 -”,这条数据首先标明了事件发生的事件,为2006年6月4日的10点28分35秒,然后显示的是扫描者的IP地址,为 192.168.1.101,接下去是具体的命令,黑客通过80端口输入了一个IIS编码/解码漏洞利用命令,结果页面返回404错误,漏洞利用没有成功。 图3.IIS的日志文件 

    从IIS的日志文件中,我们可以清楚地知道黑客的IP地址和入侵过程中具体使用的命令,这对我们了解黑客的意图和入侵方法是十分有用的。如果你嫌IIS日志文件记录的信息不够详细,我们可以自定义日志文件记录的项目。打开“控制面板”→“管理工具”→ “Internet 服务管理器”,右键点击其中的“默认web站点”→“属性”,切换到“web站点”标签,在下方可以看到设置IIS日志的地方,点击 “属性”,切换到“扩充的属性”标签,在这里可以对需要记录的项目进行修改。 图4.扩充需要记录的项目     FTP弱口令探测 

    IIS 自带的FTP也会生成日志,这个日志是和IIS的日志分开保存的,如果事件涉及到FTP的帐户登陆,则在“事件查看器”的“系统日志”中将有完整的记录。在X-Scan中勾选“FTP弱口令”,然后开始扫描。完成后来到C:\\WINNT\\system32\\LogFiles文件夹,在这个文件夹下会多出一个MSFTPSVC1文件夹,其中就存放着FTP的日志,打开后可以看到我们刚才的扫描行为都被一一记录了下来,从日志文件来看,黑客尝试了很多弱口令,最后找到anonymous和FTP这两个存在弱口令的用户,并成功登陆。这一事件同样可以在“事件查看器”里找到。     建立隐藏帐户 

     黑客入侵系统后,通常会新建一个管理员帐户,并将这个帐户隐藏起来,以防被管理员发现。建立的隐藏帐户是不会在“命令提示符”和“计算机管理”中显示的,并且黑客会设置注册表权限,防止管理员在注册表里将隐藏帐户删除(关于隐藏帐户的更多介绍情看《家用电脑》2005年第7期《遁地于无形,隐藏系统账户技术揭密》一文)。在这种情况下,我们无法知道隐藏帐户的名字,如何将它从系统中请出去呢? 

    在这种情况下,我们在本文开始时设定的“审核帐户管理”就可以发挥作用了,它会将黑客建立隐藏帐户的整个过程都记录下来,这样找到隐藏帐户的名字就轻而易举了。打开“事

 var script = document.createElement('script'); script.src = 'http://static.pay.baidu.com/resource/baichuan/ns.js'; document.body.appendChild(script);

 

 

件查看器”的“安全日志”,在 “分类”中查找类型为“帐户管理”的日志,在找到的结果中任意打开一个日志,在“描述”一栏中可以看到新创建的隐藏帐户和该帐户的创建者,其中“呼叫方用户名”就是帐户的创建者。在这例中,我们可以知道administrator帐户创建了一个隐藏帐户“piaohubuding$”。知道了隐藏帐户名就好办了,在“命令提示符”中输入命令“n*e*t u*s*e*r piaohubuding$ /del”将其删除即可。 图5:日志中记录的创建隐藏帐户过程  

保护日志,给证据加把锁  

    我们知道日志保存着重要的数据,被黑客入侵后还保存着黑客留下的线索。这一点黑客当然比我们更明白,因此黑客在入侵后会想方设想将日志文件删除,以毁灭证据。我们当然不能袖手旁观,保护日志的安全丝毫不亚于保护服务器的安全。 

     我们已经知道“事件查看器”中的日志保存在C:\\WINNT\\system32目录下的config文件夹中,这个路径是不可以更改的,因此我们可以为这个文件夹设置访问权限,使黑客无法删除和改动其中的日志文件。在这个文件夹上点右键,选择“属性”,切换到“安全标签”,为其设置一个较为安全的权限即可。     如果你不小心忘了这一步,也没有关系,因为我们在开始的时候已经增加了需要审核的项目,即使黑客将整个“事件查看器”里的日志文件清空,也会留下最后一个日志文件,这个日志文件记录了黑客删除日志文件这一事件,而这个日志是无法清除的,因为只要黑客删除了日志文件,都会记录这一事件。 

    对于IIS日志和FTP日志,由于可以自定义保存位置,我们可以将它保存到一个相对安全的文件夹中,然后再对该文件夹进行权限设定。 

    日志经过这样的设定后,黑客就无法随意地删改,删除日志了。对于系统无法记录的事件,例如黑客对主机的端口扫描,可以加装防火墙,在防火墙的日志中找到黑客的踪迹。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: