收藏 分享(赏)
下载资源 加入VIP,免费下载

Win2000日志分析.ppt

上传人:gnk289057 文档编号:8633746 上传时间:2019-07-06 格式:PPT 页数:17 大小:61.50KB
下载 相关 举报
Win2000日志分析.ppt_第1页
第1页 / 共17页
Win2000日志分析.ppt_第2页
第2页 / 共17页
Win2000日志分析.ppt_第3页
第3页 / 共17页
Win2000日志分析.ppt_第4页
第4页 / 共17页
Win2000日志分析.ppt_第5页
第5页 / 共17页
点击查看更多>>
资源描述

1、Win2000日志分析,Win2000日志分类,应用程序日志 安全日志 系统日志 DNS服务器日志 FTP日志 WWW日志等等,Win2000日志分类,会根据服务器所开启的服务不同,记录不同的日志。 当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!还有Scheduler日志这

2、也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。,日志文件默认位置,应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%system32config, 默认文件大小512KB,管理员都会改变这个默认大小。,日志文件默认位置,安全日志文件:%systemroot%system32configSecEvent.EVT 系统日志文件:%systemroot%system32configSysEvent.EVT 应用程序日志文件:%systemroot%system32co

3、nfigAppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个日志 Internet信息服务WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志 Scheduler服务日志默认位置:%systemroot%schedlgu.txt,日志注册表,应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog

4、 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中:HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent,FTP和WWW日志详解,FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例:,FTP日志详解,#Software: Microsoft Internet Information Services

5、5.0 (微软IIS5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 1USER administator 331 (IP地址为127.0.0.1用户名dministator试图登录) 0318 127.0.0.1 1PASS 530 (登录失败) 032:04 127.0.0.1 1USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录) 032:06 127.0.0.1 1PA

6、SS 530 (登录失败) 032:09 127.0.0.1 1USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录) 0322 127.0.0.1 1PASS 530 (登录失败) 0322 127.0.0.1 1USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录) 0324 127.0.0.1 1PASS 230 (登录成功) 0321 127.0.0.1 1MKD nt 550 (新建目录失败) 0325 127.0.0.1 1QUIT 550 (退出FTP程序),FTP日志详解,从日志里

7、就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。,WWW日志详解,WWW服务同FTP服务一样,产生的日志也是在%systemroot%System32LogFilesW3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件,WWW日志详解,#Software: Microsoft Internet Information Services 5

8、.0 #Version: 1.0 #Date: 20001023 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20001023 03:094 192.168.1.26 192.168.1.37

9、 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt),WWW日志详解,通过分析第六行,可以看出2000年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。,删除日志,日志文件通常有某项服务在后台保护,除

10、了系统日志、安全日志、应用程序日志等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志和WWW日志以及Scedlgu日志都是可以轻易地删除的。,删除日志,首先要取得Admnistrator密码或Administrators组成员之一,然后Telnet到远程 主机,先来试着删除FTP日志: D:SERVERdel schedlgu.txt D:SERVERSchedLgU.Txt 进程无法访问文件,因为另一个程序正在使用此文件。 说过了,后台有服务保护,先把服务停掉! D:SERVERnet s

11、top “task scheduler“ 下面的服务依赖于 Task Scheduler 服务。 停止 Task Scheduler 服务也会停止这些服务。 Remote Storage Engine 是否继续此*作? (Y/N) N: y Remote Storage Engine 服务正在停止 Remote Storage Engine 服务已成功停止。,删除日志,Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。 OK,它的服务停掉了,同时也停掉了与它有依赖关系的服务。再来试着删一下! D:SERVERdel schedlgu.txt D:SER

12、VER 没有反应?成功了!下一个是FTP日志和WWW日志,原理都是一样,先停掉相关服务,然后再删日 志! D:SERVERsystem32LogFilesMSFTPSVC1del ex*.log D:SERVERsystem32LogFilesMSFTPSVC1 以上*作成功删除FTP日志!再来WWW日志! D:SERVERsystem32LogFilesW3SVC1del ex*.log D:SERVERsystem32LogFilesW3SVC1 OK!恭喜,现在简单的日志都已成功删除。,删除日志,下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它! D

13、:SERVERsystem32LogFilesW3SVC1net stop eventlog 这项服务无法接受请求的 “暂停” 或 “停止” *作。 如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能! 所以还是得用虽然简单但是速度慢得死机的办法: 打开“控制面板”的“管理工具”中的“事件查看器”(98没有,用Win2k),在菜单有一个名为“连接到另一台计算机”的菜单,输入远程计算机的IP,等上数十分钟,忍受象死机的折磨,选择远程计算机的安全性日志,右键选择它的属性: 点击属性里的“清除日志”按钮,OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志!,日志安全,了解Windows2000的日志文件以及删除方法,但是你必须是Administrator,注意必须作为管理员或管理组的成员登录才能打开安全日志记录。 该过程适用于 Windows 2000 Professional 计算机,也适用于作为独立服务器或成员服务器运行的Windows 2000 Server 计算机。 至此,Windows2000日志安全知识基础了解完毕,还有几句话要讲,大家也看出来了,虽然FTP等等日志可以很快清除,但是系统日志和安全日志却不是那么快、那么顺利地能删除,如果遇到聪明的管理员,将日志文件转移到另一个地方,那更是难上加难!,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报