日志的重要性已经在Linux篇叙述过,故此处不再赘述。建议使用W3C扩充日志文件格式,这也是IIS 5.0默认的格式,可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理,每天要审查日志。如图1所示。
图1 IIS的扩充日志记录属性
IIS 5.0的WWW日志文件默认位置为%systemroot%\system32\logfiles\w3svc1\,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:\winnt\system32\logfiles\w3svcl\,默认每天一个日志。建议不要使用默认的目录,更换一个记录日志的路径,同时设置日志访问权限,只允许管理员和SYSTEM为完全控制的权限,如图2所示。
图2 设置IIS扩充日志记录属性日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件,可以使用任何编辑器打开,例如记事本程序。下面列举说明日志文件的部分内容。每个日志文件都有如下的头4行:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2002-08-12 01:27:21
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem
cs-uri-query sc-status cs(User-Agent)
第3行记录了IIS启动的时间,第4行说明了每条记录的格式说明。
2002-07-18 09:53:52 10.152.8.17 - 10.152.8.2 80
GET /index.htm - 200 Mozilla/4.76+[en]+(X11;+U;+Linux+2.4.2-2+i686)
2002-07-18 09:53:58 10.152.8.13 - 10.152.8.2 80
GET /MyHomepage/Nethief_Notify.htm - 404 INTERNET
2002-08-10 05:13:11 61.159.35.180 - 61.181.60.164 80
GET /bbs/ - 302 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2002-06-28 08:17:33 127.0.0.1 - 127.0.0.1 2285
GET / - 401 Mozilla/4.0+(compatible;+MSIE+6.0b;+Windows+NT+5.0)
2002-07-16 01:10:51 10.152.8.17 - 10.152.8.2 80
GET /seek/images/ip.gif - 200 Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7)
+Gecko/20010316 |
上面各行分别清楚地记下了远程客户端的IP地址、连接时间、端口、请求动作、返回结果(用数字表示,如页面不存在则以404返回)、所使用的浏览器类型等信息。
IIS的FTP日志文件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:\winnt\system32\logfiles\ MSFTPSVC1\,和IIS的WWW日志一样,也是默认每天一个日志。日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件,同样可以使用任何编辑器打开,例如记事本程序。和IIS的WWW日志相比,IIS的FTP日志文件要丰富得多。下面列举日志文件的部分内容。
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2002-07-24 01:32:07
#Fields: time cip csmethod csuristem scstatus
03:15:20 210.12.195.3 [1]USER administator 331
(IP地址为210.12.195.2用户名为administator的用户试图登录)
03:16:12 210.12.195.2 [1]PASS - 530 (登录失败)
03:17:04 210.12.195.2 [1]USER bright 331
(IP地址为210.12.195.2用户名为bright的用户试图登录)
03:17:06 210.12.195.2 [1]PASS - 530 (登录失败)
03:17:29 210.12.195.2 [1]USER lzy 331
(IP地址为210.12.195.2用户名为lzy的用户试图登录)
03:17:30 210.12.195.2 [1]PASS - 530 (登录失败)
03:19:16 210.12.195.2 [1]USER administrator 331
(IP地址为210.12.195.2用户名为administrator的用户试图登录)
03:19:24 210.12.195.2 [1]PASS - 230 (登录成功)
03:19:49 210.12.195.2 [1]MKD brght 550 (新建目录失败)
03:25:26 210.12.195.2 [1]QUIT - 550 (退出FTP程序) |
有经验的用户可以通过这段FTP日志文件的内容看出,来自IP地址210.12.195.2的远程客户从2002年7月24日3:15开始试图登录此服务器,先后换了4次用户名和口令才成功,最终以administrator的账户成功登录。这时候就应该提高警惕,因为administrator账户极有可能泄密了,为了安全考虑,应该给此账户更换密码或者重新命名此账户。
如何辨别服务器是否有人曾经利用过UNICODE漏洞入侵过呢?可以在日志里看到类似如下的记录:
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 200
如果有人曾经执行过copy、del、echo、.bat等具有入侵行为的命令时,会有以下类似的记录:
13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401
13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 502 |
如果入侵者技术比较高明,会删除IIS日志文件以抹去痕迹,这时可以到事件查看器看来自W3SVC的警告信息,往往能找到一些线索。当然,对于访问量特别大的Web服务器,仅靠人工分析几乎是不可能的--数据太多了!可以借助第三方日志分析工具,如Faststs Analyzer、Logs2Intrusions v.1.0等。此处仅仅介绍一下Logs2Intrusions日志分析工具。它是一个由Turkish Security Network公司开发的自由软件,是免费的日志分析工具,可以分析IIS 4/5、Apache和其他日志文件。可以到http://www.trsecurity.net/logs2intrusions下载最新的版本。该软件简单易用,下面是它的主界面,如图3所示。
图3 Logs2Intrusions的主界面单击【Select】按钮后选择要分析的日志文件,然后单击【Next】按钮,在出现的窗口中单击【Begin Work】按钮即可开始分析,如图4所示。
图4 Logs2Intrusions开始分析日志文件如图4所示,它表明已经发觉入侵的痕迹。如果没有发现痕迹则弹出如图5所示的对话框。
图5 Logs2Intrusions未发现入侵痕迹在发现痕迹后单击【Next】按钮继续,如图6所示。
图6 Logs2Instrusions发现入侵痕迹的情景【View Report】按钮是查看报告,【Save Report】按钮是保存报告,【New Report】按钮是生成新报告。下面是报告的例子,如图7所示。
图7 Logs2Intrusions生成的分析报告在"Intrusion Attempt"列中列出了超链接,选择它可以得到Trsecurity公司的专家的建议。和该软件同一目录中的sign.txt是入侵行为特征的关键字,用户可以根据新的漏洞的发现而随时补充。
【相关文章】
【责任编辑:
刘兵 TEL:(010)68476606】
