日志清除技術(shù)(1)ppt課件

1、第17講 日志去除技術(shù) 答疑地點(diǎn)：12J810|12J806網(wǎng)絡(luò)答疑：252175436 答疑時(shí)間：周三上午9:30-11:00內(nèi)容提綱 Windows日志原理 IPC$空鏈接 LINUX日志原理 防御技術(shù)和方案Windows日志原理 日志文件是一類文件系統(tǒng)的集合，經(jīng)過對(duì)日志進(jìn)展統(tǒng)計(jì)、分析、綜合，可有效的掌握系統(tǒng)的運(yùn)轉(zhuǎn)情況。 因此，無論是系統(tǒng)管理員還是黑客都極其注重日志文件。管理員可以經(jīng)過日志文件查看系統(tǒng)的平安性，找到入侵者的IP地址和各種入侵證據(jù)。 黑客會(huì)在入侵勝利后迅速去除對(duì)本人不利的日志，以免留下蛛絲馬跡。2021-11-263Windows日志原理 Windows的日志文件通常有運(yùn)用程

2、序日志，平安日志、系統(tǒng)日志、IIS日志等等，能夠會(huì)根據(jù)效力器所開啟的效力不同。2021-11-264Windows日志原理 各日志文件的默許位置如下： 平安日志文件：%systemroot%system32configSecEvent.EVT 系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT 運(yùn)用程序日志文件：%systemroot%system32configAppEvent.EVT Internet信息效力FTP日志默許位置：%systemroot%system32logfilesmsftpsvc1，默許每天一個(gè)日志 Internet信息效力WWW

3、日志默許位置：%systemroot%system32logfilesw3svc1，默許每天一個(gè)日志2021-11-265Windows日志原理2021-11-266 在事件日志中，以下面幾種情況來表示整個(gè)系統(tǒng)運(yùn)轉(zhuǎn)過程中出現(xiàn)的事件： 1“錯(cuò)誤是指比較嚴(yán)重的問題，通常是出現(xiàn)了數(shù)據(jù)喪失或功能喪失； 2“警告那么闡明情況暫時(shí)不嚴(yán)重，但能夠會(huì)在未來引起錯(cuò)誤，比如磁盤空間太少等； 3“信息那么是記錄運(yùn)轉(zhuǎn)勝利的事件。另外，平安日志那么直接以勝利審核和失敗審核來標(biāo)識(shí)事件的勝利與否。IPC$空鏈接 在去除系統(tǒng)日志、平安日志和運(yùn)用程序日志時(shí)，我們需求首先和目的機(jī)器建立IPC$空鏈接。 IPC$(Internet

4、 Process Connection)是共享命名管道的資源，它是為了讓進(jìn)程間通訊而開放的命名管道，經(jīng)過提供可信任的用戶名和口令，銜接雙方可以建立平安的通道并以此通道進(jìn)展加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問。2021-11-267IPC$空鏈接 IPC$有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè)IP之間只允許建立一個(gè)銜接。 在初次安裝系統(tǒng)時(shí)就翻開了默許共享，即一切的邏輯共享(c$,d$,e$)和系統(tǒng)目錄winnt或windows(admin$)共享。 一切的這些，微軟的初衷都是為了方便管理員的管理，但在有意無意中，導(dǎo)致了系統(tǒng)平安性的降低2021-11-268IPC$空鏈接2021-11-269 刪

5、除遠(yuǎn)程主機(jī)日志時(shí)能夠會(huì)用到的相關(guān)命令： 1 建立空銜接: net use IPipc$ /user: 2 建立非空銜接: net use IPipc$ psw /user:account 3 查看遠(yuǎn)程主機(jī)的共享資源 net view IP 4 查看本地主機(jī)的共享資源可以看到本地的默許共享 net share 5 得到遠(yuǎn)程主機(jī)的用戶名列表 nbtstat -A IPIPC$空鏈接6 得到本地主機(jī)的用戶列表net user7 查看遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間net time IP8 顯示本地主機(jī)當(dāng)前效力net start9 啟動(dòng)/封鎖本地效力net start 效力名 /ynet stop 效力名 /y10

6、 映射遠(yuǎn)程共享:net use z: IPbaby此命令將共享名為baby的共享資源映射到z盤2021-11-2610IPC$空鏈接 11 刪除共享映射 net use c: /del 刪除映射的c盤，其他盤類推 net use * /del /y刪除全部 12 向遠(yuǎn)程主機(jī)復(fù)制文件 copy 途徑srv.exe IP共享目錄名，如： copy ccbirds.exe *.*.*.*c 即將當(dāng)前目錄下的文件復(fù)制到對(duì)方c盤內(nèi) 13 遠(yuǎn)程添加方案義務(wù) at ip 時(shí)間 程序名，如： at 11:00 love.exe2021-11-2611LINUX日志 LINUX網(wǎng)管員主要是靠

7、系統(tǒng)的LOG，來獲得入侵的痕跡。當(dāng)然也有第三方工具記錄入侵系統(tǒng)的痕跡。主要的日志子系統(tǒng)： 1.銜接時(shí)間日志-由多個(gè)程序執(zhí)行，把記錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員可以跟蹤誰在何時(shí)登錄到系統(tǒng)。 2.進(jìn)程統(tǒng)計(jì)-由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí)，為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件pacct或acct中寫一個(gè)記錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的根本效力提供命令運(yùn)用統(tǒng)計(jì)。 3.錯(cuò) 誤 日 志 - 由 syslogd8執(zhí) 行。各 種 系 統(tǒng) 守 護(hù) 進(jìn) 程、用 戶 程 序 和 內(nèi) 核 通 過 syslog3向 文件/var/log/m

8、essages報(bào)告值得留意的事件。2021-11-2612常用的日志文件如下 access-log：記錄HTTP/web的傳輸 acct/pacct：記錄用戶命令 aculog：記錄MODEM的活動(dòng) btmp：記錄失敗的記錄 lastlog：記錄最近幾次勝利登錄的事件和最后一次不勝利的登錄 messages：從syslog中記錄信息有的鏈接到syslog文件 sudolog：記錄運(yùn)用sudo發(fā)出的命令 sulog：記錄運(yùn)用su命令的運(yùn)用 syslog：從syslog中記錄信息通常鏈接到messages文件 utmp：記錄當(dāng)前登錄的每個(gè)用戶 wtmp：一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久記錄 x

9、ferlog：記錄FTP會(huì)話2021-11-2613LINUX日志 redhat的系統(tǒng)日志文件通常是存放在/var/log 和 /var/run目錄下的。通常我們可以查看syslog.conf來看看日志配置的情況。2021-11-2614防御技術(shù)和方案 1修正注冊(cè)表從而制止Guest訪問事件日志 2) 對(duì)日志進(jìn)展平安配置, 更改日志默許大小 3防備ipc$入侵 1制止空銜接進(jìn)展枚舉 在本地平安設(shè)置本地戰(zhàn)略平安選項(xiàng)在對(duì)匿名銜接的額外限制中做相應(yīng)設(shè)置。 2制止默許共享 a查看本地共享資源 運(yùn)轉(zhuǎn)-cmd-輸入net share b刪除共享重起后默許共享依然存在 net share ipc$ /del

10、ete net share admin$ /delete net share c$ /delete net share d$ /delete假設(shè)有e,f,可以繼續(xù)刪除 c停頓server效力 net stop server /y 重新啟動(dòng)后server效力會(huì)重新開啟2021-11-2615防御技術(shù)和方案d制止自動(dòng)翻開默許共享此操作并未封鎖ipc$共享運(yùn)轉(zhuǎn)-regeditserver版:找到主鍵HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters把AutoShareServerDWORD的鍵值改為:00000000。pro版:找到主鍵HKEY_LOCAL_M