巧用日志追捕黑客行蹤

■河南 劉景云

分析日志，應(yīng)對(duì)黑客的掃描

點(diǎn)擊“Win+R”鍵，執(zhí)行“eventvwr.msc”命令，就可以打開查看日志內(nèi)容，包括應(yīng)用程序日志、安全性日志、系統(tǒng)日志三類日志信息。

運(yùn)行“gpedit.msc”程序，在組策略編輯器窗口左側(cè)選擇“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”項(xiàng)，在右側(cè)窗口中可以對(duì)多種審核策略進(jìn)行配置。例如，雙擊“審核賬戶登錄事件”項(xiàng)，在彈出窗口中選擇“成功”和“失敗”項(xiàng)。這樣，所有和登錄有關(guān)的事件都會(huì)被記錄下來。

一般來說，只需激活“審核賬戶登錄事件”和“審核策略更改”這兩項(xiàng)策略就可以了。

在實(shí)際的工作中，需要的是針對(duì)黑客的具體攻擊行為對(duì)日志進(jìn)行有效地分析，來提高系統(tǒng)的安全性。

例如，當(dāng)某臺(tái)服務(wù)器上安裝有IIS 組件、MS SQL Server 數(shù)據(jù)庫，以及公司官網(wǎng)和論壇等網(wǎng)站。管理員就是通過系統(tǒng)日志及時(shí)發(fā)現(xiàn)黑客發(fā)起的掃描探測行為的。在事件查看器窗口左側(cè)選擇“安全性”項(xiàng)，在右側(cè)窗口發(fā)現(xiàn)了可疑的審核日志，選擇某條日志，在其“來源”欄中顯示“MSFTPSVC”字樣，表示其來自于FTP 服務(wù)模塊。

在“描述”欄中顯示登錄失敗信息，連接者使用了未知的用戶名和錯(cuò)誤的密碼，而且顯示器使用的FTP 賬戶名為“root”。根據(jù)這些信息，可以看出黑客在使用了某些FTP 破解工具，對(duì)IIS 中的FTP 服務(wù)進(jìn)行檢測。

由此看出，為FTP 服務(wù)器設(shè)置復(fù)雜的密碼，可以大大增加黑客破解的難度。打開“C:WINDOWSsystem32LogFiles”目錄，在其中可以找到和FTP 相關(guān)的日志文件，分析后發(fā)現(xiàn)黑客利用字典對(duì)FTP 服務(wù)器進(jìn)行賬戶和密碼的猜測。

在默認(rèn)情況下，黑客掃描工具還會(huì)對(duì)目標(biāo)主機(jī)進(jìn)行IIS 漏洞檢測，這些檢測都會(huì)在IIS 日志中留下痕跡。打開日志存儲(chǔ)路徑（例如“C:WINDOWSsystem32LogFilesW3SVC1”），找到與對(duì)應(yīng)日志相符的日志文件（例如“ex180930.log”等），使用記事本將其打開后，可查閱其內(nèi)容，并發(fā)現(xiàn)與黑客攻擊事件相關(guān)的內(nèi)容，包括日期、事件、客戶端IP 地址、客戶端用戶名、服務(wù)器地址、服務(wù)器端口、請(qǐng)求資源所使用的方法、所請(qǐng)求的URI 資源、返回狀態(tài)以及客戶端使用的瀏覽器類型等。為了有效保護(hù)系統(tǒng)安全，必須及時(shí)其打上各種補(bǔ)丁，來防止可能被黑客利用的漏洞。

溢出攻擊對(duì)日志的影響

當(dāng)黑客對(duì)目標(biāo)機(jī)進(jìn)行全面掃描后，會(huì)根據(jù)掃描到的漏洞對(duì)其發(fā)起實(shí)際的攻擊。

例如，如果被攻擊主機(jī)上存在一個(gè)可以溢出的漏洞，黑客就會(huì)利用其得到具有很大權(quán)限的CMDShell 控制接口，進(jìn)入對(duì)該主機(jī)進(jìn)行深入破壞。對(duì)于危害性比較大的漏洞來說，甚至可以使用多個(gè)不同的服務(wù)（例如IIS 服務(wù)、SMTP 服務(wù)等），來執(zhí)行溢出操作，因?yàn)椴煌姆?wù)開啟的端口是不同的，因此就給了黑客更大的攻擊活動(dòng)空間。

對(duì)于此類攻擊行為，可以在事件查看器左側(cè)選擇“系統(tǒng)日志”項(xiàng)，可以發(fā)現(xiàn)由此產(chǎn)生的錯(cuò)誤日志信息。查看其詳細(xì)信息，會(huì)發(fā)現(xiàn)與之關(guān)聯(lián)的各種錯(cuò)誤信息。

例如，相關(guān)服務(wù)的進(jìn)程遇到了錯(cuò)誤，系統(tǒng)將試圖恢復(fù)；系統(tǒng)內(nèi)存出現(xiàn)不足的問題，要求用戶檢查虛擬內(nèi)存是否消耗完；相關(guān)服務(wù)的運(yùn)行出現(xiàn)錯(cuò)誤，系統(tǒng)試圖從中恢復(fù)，如果恢復(fù)失敗，需要檢查之前的時(shí)間日志來確定恢復(fù)失敗的原因，采取適當(dāng)?shù)牟僮鱽斫鉀Q該問題；某個(gè)安全程序包出現(xiàn)了意外的情況，程序包被停用，意外現(xiàn)象信息是數(shù)據(jù)等等。

從具體的實(shí)例進(jìn)行分析，可以得出這樣的結(jié)論，當(dāng)黑客針對(duì)某個(gè)系統(tǒng)漏洞進(jìn)行攻擊操作后，如果對(duì)應(yīng)的服務(wù)出錯(cuò)，就會(huì)被系統(tǒng)日志完整記錄下來，但是顯示的方式和內(nèi)容并不直觀，提供的信息量也比較有限。甚至有些漏洞攻擊系統(tǒng)并不記錄。

因此，完全依賴系統(tǒng)日志功能，是不足以對(duì)付漏洞攻擊行為的。為了彌補(bǔ)這一不足，可以帶有主動(dòng)防御功能的殺軟，無需復(fù)雜的設(shè)置就可以對(duì)這類攻擊進(jìn)行精準(zhǔn)探測和防御。例如，當(dāng)發(fā)現(xiàn)黑客發(fā)起漏洞攻擊時(shí)，這類殺軟會(huì)彈出警告窗口，顯示攻擊者的IP 以及涉及的漏洞等內(nèi)容，用戶不必進(jìn)行管理，就可以自動(dòng)攔截其攻擊行為，讓黑客鎩羽而歸。

在日志尋找注入的痕跡

因?yàn)楹芏嗑W(wǎng)站采用了MS SQL Server 數(shù)據(jù)庫，黑客在入侵此類網(wǎng)站時(shí)，往往會(huì)使用注入的方式對(duì)網(wǎng)站進(jìn)行滲透。

對(duì)日志進(jìn)行分析，不難發(fā)現(xiàn)其蹤跡。例如，某網(wǎng)站出現(xiàn)被黑客入侵的情況，管理庫員使用UltraEdit32 這款編輯軟件，打開IIS 日志文件，來尋找有用的線索。例如，在UltraEdit32 主界面中點(diǎn)擊“Ctrl+F”鍵，在搜索窗口中輸入：

'and '%25'='#25 等內(nèi)容，搜索與其關(guān)聯(lián)的信息。

執(zhí)行搜索操作后，UltraEdit32 很快就在日志文件中找到了很多信息，為了便于觀察，在工具欄上點(diǎn)擊“全部書簽”按鈕，讓搜索到的數(shù)據(jù)高亮顯示。對(duì)這些日志行進(jìn)行逐一分析，可以很容易發(fā)現(xiàn)疑點(diǎn)。例如，在某行記錄中顯示一個(gè)“x.x.x.x”的可疑IP 在某天凌晨訪問了Web 服務(wù)器的“/article.aspx”頁面，并且發(fā)現(xiàn)其提供的ID 變量為過濾對(duì)象，使用了“and 1=1”的字符串，對(duì)Web 服務(wù)器進(jìn)行手工探測，并且其訪問返回的數(shù)據(jù)類型為200，表示代碼已經(jīng)成功執(zhí)行了。

因?yàn)橐呀?jīng)掌握了該可疑訪問者的IP，就可以順藤摸瓜進(jìn)行深入分析了。在UltraEdit32 的搜索窗口中輸入該IP，執(zhí)行搜索操作后，所有與其相關(guān)的日志行被全部顯示出來，根據(jù)這些信息可以清楚地看到該訪問者第一次訪問本W(wǎng)eb 服務(wù)器的時(shí)間，請(qǐng)求過的所有資源項(xiàng)目，訪問和探測的次數(shù)等。對(duì)這些信息進(jìn)行綜合分析，發(fā)現(xiàn)該訪問者在初次訪問服務(wù)器后，很快就執(zhí)行了針對(duì)上傳頁面、數(shù)據(jù)庫路徑、后臺(tái)管理地址等目標(biāo)的掃描操作了。

根據(jù)其頻繁的訪問記錄來看，應(yīng)該使用了專用的注入工具，對(duì)網(wǎng)站進(jìn)行了快速的掃描檢測操作。繼續(xù)分析與黑客使用的IP 相關(guān)的日志，可以看到其提交的數(shù)據(jù)內(nèi)容，利用SQL 注入來執(zhí)行各種指令，例如查看C 盤目錄等。同時(shí)還發(fā)現(xiàn)了在具體的網(wǎng)站路徑下非法寫入的文件，繼續(xù)進(jìn)行分析，發(fā)現(xiàn)黑客還上傳了木馬程序，并且在數(shù)據(jù)庫中創(chuàng)建新的表來存儲(chǔ)非法信息。例如，將C 盤中的全部文件信息導(dǎo)入到該表中，便于黑客查詢之用。

當(dāng)然，使用SQL Server提供的日志功能也有助于發(fā)現(xiàn)黑客行蹤。在SQL Server企業(yè)管理器中依次打開“管理”、“SQL Server 日志”項(xiàng)，可查看日志信息來發(fā)現(xiàn)不法行為。注意，上述對(duì)日志的檢測分析是基于未編碼的明文格式，如果黑客使用了比較強(qiáng)悍的入侵掃描工具對(duì)Web 服務(wù)器進(jìn)行入侵時(shí)，在日志中會(huì)看到與之相關(guān)的內(nèi)容全部處于編碼狀態(tài)，這給分析工作帶來了繁瑣。其實(shí)，使用UltraEdit32 工具可以輕易將其破解，使用UltraEdit32 打開IIS 日志文件，在其窗口底部點(diǎn)擊解碼按鈕，就可以進(jìn)行解碼，還原其本來面目了。

細(xì)心觀察，讓木馬露出破綻

好多網(wǎng)站都提供了論壇版塊，而論壇版塊幾乎都是利用現(xiàn)成的模板包，只是對(duì)其顯示內(nèi)容進(jìn)行修改，使之符合自己的風(fēng)格而已。在這些現(xiàn)成的論壇程序中不免存在各種漏洞，一旦被黑客惡意利用（尤其是文件上傳漏洞）就可以輕松上傳ASP，PHP 木馬等惡意程序獲得WebShell 控制接口，進(jìn)而執(zhí)行查閱敏感信息，搜尋重要文件，非法提權(quán)等操作，這對(duì)網(wǎng)站甚至服務(wù)器造成不小的威脅。

打開對(duì)應(yīng)的IIS 日志文件，不難發(fā)現(xiàn)這些木馬的蹤跡。例如，如果出現(xiàn)了類似于“POST/shell.asp PageN ame=MsdateBase&theAct=qu ery&sqlStr=后臺(tái)數(shù)據(jù)庫路徑編碼”的內(nèi)容，說明其執(zhí)行了特定的SQL 語句，但是沒有記錄具體的內(nèi)容。而看到“POST/shell.asp %23=Ex ecute(Session(%22%23%22))&pageName=FsoFIleExpl orer&theAct=upload&theP ath=具體Web 路徑+cmd.com&overWrite=false 80-服務(wù)器IP”之類的內(nèi)容，說明黑客上傳了CMD.exe 程序（當(dāng)然，也可以是其他程序），然后黑客就可以執(zhí)行各種命令了。根據(jù)這些信息，說明網(wǎng)站已經(jīng)遭到了黑客的攻擊，接下來就要使用各種安全工具，來搜捕斌清除這些惡意程序。

保護(hù)日志，禁止黑客破壞入侵現(xiàn)場

當(dāng)黑客入侵之后，必然會(huì)使用各種黑客工具對(duì)日志進(jìn)行刪除，來掩蓋其蹤跡。因此，對(duì)日志進(jìn)行保護(hù)就顯得非常重要了。

因此，如果想保護(hù)系統(tǒng)日志，最直接的辦法就是更改存放位置，讓別人找不到其藏身地。打開注冊(cè)表編輯器，在其中展開“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesEventlog”分支，在其下可以看到與所有日志項(xiàng)目關(guān)聯(lián)的子鍵。例 如，“application”、“security”、“system”等，分別與應(yīng)用程序、安全、系統(tǒng)等日志對(duì)應(yīng)。

選擇所需的日志子健名，在右側(cè)窗口中雙擊“file”鍵值名，可以修改該日志文件的存儲(chǔ)位置。之后，將原日志全部復(fù)制到路徑中。當(dāng)然，也可以分別針對(duì)每個(gè)日志項(xiàng)目，分別指定新的存儲(chǔ)路徑并完成復(fù)制操作。之后重新啟動(dòng)系統(tǒng)，可以完成日志文件的遷移操作。如果系統(tǒng)中安裝了IIS組件，還涉及到Web 日志文件的搬遷問題。其方法是在Internet 信息服務(wù)管理器中選擇目標(biāo)站點(diǎn)，在屬性窗口中的“網(wǎng)站”面板中勾選“啟用日志記錄”項(xiàng)，點(diǎn)擊“屬性”按鈕，在常規(guī)屬性面板中點(diǎn)擊“瀏覽”按鈕，更改Web日志存放路徑。

選擇新的日志存放文件夾，在屬性窗口中打開“安全”面板，點(diǎn)擊“刪除”按鈕，清除除了“Users”和“SYSTEM”之外的所有賬戶。之后選擇“Users”組，在“允許”欄中只勾選“讀取”項(xiàng)，讓其只有讀取日志的能力。選擇“SYSTEM”賬戶，在“允許”欄中勾選除了“完全控制”和“修改”之外的所有權(quán)限。之后點(diǎn)擊“確定”按鈕保存配置。當(dāng)以后進(jìn)入事件查看器窗口試圖刪除日志信息時(shí)，系統(tǒng)拒絕其操作。