日志清除技术

1、第17讲 日志清除技术,答疑地点：12J810|12J806 网络答疑：QQ：252175436答疑时间：周三上午9:30-11:00,内容提纲,Windows日志原理 IPC$空链接LINUX日志原理 防御技术和方案,2018/9/20,2,Windows日志原理,日志文件是一类文件系统的集合，通过对日志进行统计、分析、综合，可有效的掌握系统的运行状况。 因此，无论是系统管理员还是黑客都极其重视日志文件。管理员可以通过日志文件查看系统的安全性，找到入侵者的IP地址和各种入侵证据。 黑客会在入侵成功后迅速清除对自己不利的日志，以免留下蛛丝马迹。,2018/9/20,3,Windows日志原理,Windows的日志文件通常有应用程序日志，安全日志、系统日志、IIS日志等等，可能会根据服务器所开启的服务不同。,2018/9/20,4,Windows日志原理,各日志文件的默认位置如下： 安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 应用程序日志文件：%sy

2、stemroot%system32configAppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志,2018/9/20,5,Windows日志原理,2018/9/20,6,在事件日志中，以下面几种情况来表示整个系统运行过程中出现的事件： 1）“错误”是指比较严重的问题，通常是出现了数据丢失或功能丢失； 2）“警告”则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太少等； 3）“信息”则是记录运行成功的事件。另外，安全日志则直接以成功审核和失败审核来标识事件的成功与否。,IPC$空链接,在清除系统日志、安全日志和应用程序日志时，我们需要首先和目标机器建立IPC$空链接。 IPC$(Internet Process Connection)是共享“命名管道“的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以

3、建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。,2018/9/20,7,IPC$空链接,IPC$有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。在初次安装系统时就打开了默认共享，即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低,2018/9/20,8,IPC$空链接,2018/9/20,9,删除远程主机日志时可能会用到的相关命令： 1） 建立空连接: net use IPipc$ “ /user:“ 2） 建立非空连接: net use IPipc$ “psw“ /user:“account“ 3） 查看远程主机的共享资源 net view IP 4 ）查看本地主机的共享资源（可以看到本地的默认共享） net share 5 ）得到远程主机的用户名列表 nbtstat -A IP,IPC$空链接,6 ）得到本地主机的用户列表 net user 7 ）查看远程主机的当前时间 net time IP 8 ）显示本地主机当前

4、服务 net start 9 ）启动/关闭本地服务 net start 服务名 /y net stop 服务名 /y 10） 映射远程共享: net use z: IPbaby 此命令将共享名为baby的共享资源映射到z盘,2018/9/20,10,IPC$空链接,11 ）删除共享映射 net use c: /del 删除映射的c盘，其他盘类推 net use * /del /y删除全部 12） 向远程主机复制文件 copy 路径srv.exe IP共享目录名，如： copy ccbirds.exe *.*.*.*c 即将当前目录下的文件复制到对方c盘内 13） 远程添加计划任务 at ip 时间 程序名，如： at 127.0.0.0 11:00 love.exe,2018/9/20,11,LINUX日志,LINUX网管员主要是靠系统的LOG，来获得入侵的痕迹。当然也有第三方工具记录入侵系统的痕迹。主要的日志子系统： 1.连接时间日志-由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁

5、在何时登录到系统。 2.进程统计-由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。 3.错 误 日 志 - 由 syslogd（8）执 行。各 种 系 统 守 护 进 程、用 户 程 序 和 内 核 通 过 syslog（3）向 文件/var/log/messages报告值得注意的事件。,2018/9/20,12,常用的日志文件如下,access-log：记录HTTP/web的传输 acct/pacct：记录用户命令 aculog：记录MODEM的活动 btmp：记录失败的记录 lastlog：记录最近几次成功登录的事件和最后一次不成功的登录 messages：从syslog中记录信息（有的链接到syslog文件） sudolog：记录使用sudo发出的命令 sulog：记录使用su命令的使用 syslog：从syslog中记录信息（通常链接到messages文件） utmp：记录当前登录的每个用户 wtmp：一个用户每次登录进入和退出时间的永久记录 xferlog：记录FTP会话,20

6、18/9/20,13,LINUX日志,redhat的系统日志文件通常是存放在/var/log 和 /var/run目录下的。通常我们可以查看syslog.conf来看看日志配置的情况。,2018/9/20,14,防御技术和方案,1）修改注册表从而禁止Guest访问事件日志 2) 对日志进行安全配置, 更改日志默认大小 3）防范ipc$入侵 （1）禁止空连接进行枚举 在本地安全设置本地策略安全选项在对匿名连接的额外限制中做相应设置。 （2）禁止默认共享 a）查看本地共享资源 运行-cmd-输入net share b）删除共享（重起后默认共享仍然存在） net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e,f,可以继续删除） c）停止server服务 net stop server /y （重新启动后server服务会重新开启）,2018/9/20,15,防御技术和方案,d）禁止自动打开默认共享（此操作并未关闭ipc$共享） 运行-regedit server版:找到主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices LanmanServerParameters把AutoShareServer（DWORD）的键值改为:00000000。 pro版:找到主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices LanmanServerParameters把AutoShareWks（DWORD）的键值改为:00000000。 （3）关闭ipc$和默认共享依赖的服务erver服务 （4）屏蔽139，445端口 （5）设置复杂密码，防止通过ipc$穷举出密码。,2018/9/20,16,

《日志清除技术》由会员小**分享，可在线阅读，更多相关《日志清除技术》请在金锄头文库上搜索。