日志清除技术

第17讲 日志清除技术,答疑地点：12J810|12J806 网络答疑：QQ：252175436答疑时间：周三上午9:30-11:00,内容提纲,Windows日志原理 IPC$空链接LINUX日志原理 防御技术和方案,2018/9/20,2,Windows日志原理,日志文件是一类文件系统的集合，通过对日志进行统计、分析、综合，可有效的掌握系统的运行状况。 因此，无论是系统管理员还是黑客都极其重视日志文件。管理员可以通过日志文件查看系统的安全性，找到入侵者的IP地址和各种入侵证据。 黑客会在入侵成功后迅速清除对自己不利的日志，以免留下蛛丝马迹。,2018/9/20,3,Windows日志原理,Windows的日志文件通常有应用程序日志，安全日志、系统日志、IIS日志等等，可能会根据服务器所开启的服务不同。,2018/9/20,4,Windows日志原理,各日志文件的默认位置如下： 安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 应用程序日志文件：%systemroot%system32configAppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志,2018/9/20,5,Windows日志原理,2018/9/20,6,在事件日志中，以下面几种情况来表示整个系统运行过程中出现的事件： 1）“错误”是指比较严重的问题，通常是出现了数据丢失或功能丢失； 2）“警告”则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太少等； 3）“信息”则是记录运行成功的事件。另外，安全日志则直接以成功审核和失败审核来标识事件的成功与否。,IPC$空链接,在清除系统日志、安全日志和应用程序日志时，我们需要首先和目标机器建立IPC$空链接。 IPC$(Internet Process Connection)是共享“命名管道“的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。,2018/9/20,7,IPC$空链接,IPC$有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。在初次安装系统时就打开了默认共享，即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低,2018/9/20,8,IPC$空链接,2018/9/20,9,删除远程主机日志时可能会用到的相关命令： 1） 建立空连接: net use IPipc$ “ /user:“ 2） 建立非空连接: net use IPipc$ “psw“ /user:“account“ 3） 查看远程主机的共享资源 net view IP 4 ）查看本地主机的共享资源（可以看到本地的默认共享） net share 5 ）得到远程主机的用户名列表 nbtstat -A IP,IPC$空链接,6 ）得到本地主机的用户列表 net user 7 ）查看远程主机的当前时间 net time IP 8 ）显示本地主机当前服务 net start 9 ）启动/关闭本地服务 net start 服务名 /y net stop 服务名 /y 10） 映射远程共享: net use z: IPbaby 此命令将共享名为baby的共享资源映射到z盘,2018/9/20,10,IPC$空链接,11 ）删除共享映射 net use c: /del 删除映射的c盘，其他盘类推 net use * /del /y删除全部 12） 向远程主机复制文件 copy 路径srv.exe IP共享目录名，如： copy ccbirds.exe *.*.*.*c 即将当前目录下的文件复制到对方c盘内 13） 远程添加计划任务 at ip 时间 程序名，如： at 127.0.0.0 11:00 love.exe,2018/9/20,11,LINUX日志,LINUX网管员主要是靠系统的LOG，来获得入侵的痕迹。当然也有第三方工具记录入侵系统的痕迹。主要的日志子系统： 1.连接时间日志-由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。 2.进程统计-由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。 3.错 误 日 志 - 由 syslogd（8）执 行。各 种 系 统 守 护 进 程、用 户 程 序 和 内 核 通 过 syslog（3）向 文件/var/log/messages报告值得注意的事件。,2018/9/20,12,常用的日志文件如下,access-log：记录HTTP/web的传输 acct/pacct：记录用户命令 aculog：记录MODEM的活动 btmp：记录失败的记录 lastlog：记录最近几次成功登录的事件和最后一次不成功的登录 messages：从syslog中记录信息（有的链接到syslog文件） sudolog：记录使用sudo发出的命令 sulog：记录使用su命令的使用 syslog：从syslog中记录信息（通常链接到messages文件） utmp：记录当前登录的每个用户 wtmp：一个用户每次登录进入和退出时间的永久记录 xferlog：记录FTP会话,2018/9/20,13,LINUX日志,redhat的系统日志文件通常是存放在/var/log 和 /var/run目录下的。通常我们可以查看syslog.conf来看看日志配置的情况。,2018/9/20,14,防御技术和方案,1）修改注册表从而禁止Guest访问事件日志 2) 对日志进行安全配置, 更改日志默认大小 3）防范ipc$入侵 （1）禁止空连接进行枚举 在本地安全设置本地策略安全选项在'对匿名连接的额外限制'中做相应设置。 （2）禁止默认共享 a）查看本地共享资源 运行-cmd-输入net share b）删除共享（重起后默认共享仍然存在） net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e,f,可以继续删除） c）停止server服务 net stop server /y （重新启动后server服务会重新开启）,2018/9/20,15,防御技术和方案,d）禁止自动打开默认共享（此操作并未关闭ipc$共享） 运行-regedit server版:找到主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices LanmanServerParameters把AutoShareServer（DWORD）的键值改为:00000000。 pro版:找到主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices LanmanServerParameters把AutoShareWks（DWORD）的键值改为:00000000。 （3）关闭ipc$和默认共享依赖的服务erver服务 （4）屏蔽139，445端口 （5）设置复杂密码，防止通过ipc$穷举出密码。,2018/9/20,16,