入侵日志清除

详解入侵日志清除方法 2008-07-28 13:51:51 http://m.wendangku.net/doc/b3cdf8360b4c2e3f572763d7.html 来源:互联网
FTP日志→FTP日志和WWW默认日志为每天生成一个日志文件,包含了每天的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex051218,就是2005年12月18日记录的日志,选用记事本打开方式就可直接打开,如下 ...
FTP日志→FTP日志和WWW默认日志为每天生成一个日志文件,包含了每天的一切记录,文件名通常为ex(年份)(月份)(日期),
例如ex051218,就是2005年12月18日记录的日志,选用记事本打开方式就可直接打开,如下例:
#Software: Microsoft Internet Information Services 5.0(微软IIS5.0)
#Version: 1.0 (版本1.0) #Date: 20051218 0516 (服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus
0315 192.168.1.30 [1]user administator 331 (IP地址为192.168.1.30用户名为administator试图登录)
0318 192.168.1.30 [1]pass – 123 (登录失败)
032:04 192.168.1.30 [1]user new 321 (IP地址为192.168.1.30用户名为new的用户试图登录)
032:06 192.168.1.30 [1]pass – 123 (登录失败)
032:09 192.168.1.30 [1]user hack 321 (IP地址为192.168.1.30用户名为hack的用户试图登录)
0322 192.168.1.30 [1]pass – 123 (登录失败)
0322 192.168.1.30 [1]user administrators 234 (IP地址为192.168.1.30用户名为administrators试图登录)
0324 192.168.1.30 [1]pass – 234 (登录成功)
0321 192.168.1.30 [1]mkd new 345 (新建目录失败)
0325 192.168.1.30 [1]qutt – 123 (退出FTP程序)
从上面日志记录里能看出来IP地址为192.168.1.30的用户一直试图登录系统,换了4次用户名和密码才成功,
可以得知入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrators用
户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrators用户。

WWW日志→WWW服务同FTP服务一样,产生的日志也是在%systemroot%\System32\LogFiles\W3SVC1目录下,
默认日志为每天生成一个日志文件,下面是一个典型的WWW日志文件:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20051120 02:081
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20051120 02:081 192.168.1.29 192.168.1.39 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
20051120 02:085 192.168.1.29 192.168.1.39 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
通过分析第六行,可以看出2000年10月23日,IP地址为192.168.1.29的用户通过访问IP地址
为192.168.1.39机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有
经验的管理员就可通过安全日志、FTP日志和WWW

相关推荐
相关主题
热门推荐