安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WEB安全 > 如何查找被黑客入侵后的痕迹

如何查找被黑客入侵后的痕迹

时间:2015-10-15来源:未知 作者:安云网点击:
查找被黑客入侵后的痕迹 Windows系统中的日志功能,在黑客入侵的过程中,肯定会在系统中留下一些痕迹,这些痕迹都会被日志功能完整地记录下来。只要我们合理地设置日志功能,甚至可以推理出黑客整个入侵过程,这犹如给系

 

 

查找被黑客入侵后的痕迹 

//copyright AnYun.ORG

   //安云网咨询系统

Windows系统中的日志功能,在黑客入侵的过程中,肯定会在系统中留下一些痕迹,这些痕迹都会被日志功能完整地记录下来。只要我们合理地设置日志功能,甚至可以推理出黑客整个入侵过程,这犹如给系统安装了一个监视器,即使电脑不幸被黑客光顾,也能让系统管理员一目了然。   //内容来自安云网

如何查看日志       //copyright AnYun.ORG

     在Windows2000以上的系统中,其默认具备了三种日志,即“应用程序日志”、“安全性日志”、“系统日志”。打开“控制面板”→“管理工具”→ “事件查看器”,在这里我们可以查看这三种日志的具体情况,这些日志文件分别保存在“C:\\WINNT\\system32\\config\\ AppEvent.Evt”、“C:\\WINNT\\System32\\config\\SecEvent.Evt”、“C:\\WINNT\\ system32 \\config\\SysEvent.Evt”这三个位置,可以直接打开查看里面的内容。  //ANYUN.ORG

    如果我们在Windows 系统中开启了 Internet Information Services(IIS)服务,那么还会生成IIS日志,用来记录Web事件。IIS的日志保存在c:\\ windows\\system(windows2000为c:\\winnt\\system32)目录下的logfiles文件夹中。  //内容来自AnYun.ORG

    除此之外,数据库、FTP软件、杀毒软件、防火墙等等软件都会生成相应的日志文件,这些软件的日志文件保存位置各不相同,具体可以查看软件中的说明。  

//安云网,anyun.org

系统日志的简单配置   //内容来自AnYun.ORG

     系统日志虽然能完整地将系统中发生的某些事件记录下来,但是它也是很“挑食”的,对于某些不在它记录范围内的事件,它会置之不理,包括系统登陆事件,系统帐户操作事件等等。黑客入侵系统后往往会进行帐户操作,如果能将它对帐户进行的操作记录下来,对我们了解黑客的行为是很有用的。因此我们可以对系统日志功能做一些简单地配置,使其发挥更强大的作用。  //ANYUN.ORG

    点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“安全设置”→“本地策略”→“审核策略”。在这里我们可以增加审核的项目,对在审核范围内的项目的操作都会被记录进日志。双击右侧的“审核策略更改”,在“审核这些操作”处将“成功”和“失败”两个项目前面的单选框都勾选上。 图1.增加需要审核的项目 

//内容来自AnYun.ORG

    用相同的方法设置“审核登陆事件”、“审核帐户登陆事件”、“审核帐户管理”。经过设置后,不管对审核的事件内容进行了成功或者失败的操作,其结果都将会被记录进日志。例如黑客远程破解Windows登陆密码,其每次输入的错误密码都将被记录。   //ANYUN.ORG

查找黑客留下的痕迹   //安云网,anyun.org

    配置完系统日志后,我们来进行一次模拟入侵,看看黑客在入侵过程中会在目标系统的日志里留下怎样的痕迹。     信息刺探  //本文来自安云网

     黑客入侵主机通常会先对目标主机进行信息刺探,以此对目标主机的端口,服务等信息有一个全面的了解。这里我们运行著名的安全检测工具X-Scan,对目标主机进行一次扫 //安云网咨询系统


//内容来自安云网


//ANYUN.ORG


//copyright AnYun.ORG


//安云网,anyun.org

       var script = document.createElement('script'); script.src = 'http://static.pay.baidu.com/resource/baichuan/ns.js'; document.body.appendChild(script);     //内容来自AnYun.ORG


//安云网咨询系统


//内容来自安云网


//copyright AnYun.ORG


//安云网咨询系统


//安云网咨询系统


//本文来自安云网


//本文来自安云网

 

//内容来自AnYun.ORG

  //本文来自安云网

描。由于我们只需了解目标主机的大致情况,因此在X-Scan的扫描选项中勾选“开放服务”、“NT-Server弱口令”、 “NetBios信息”三项即可,扫描开始。随着扫描的进行,可以看到在“事件查看器”的“安全日志”中出现了大量的日志,按类型属于“帐户登陆/注销” 这其中既有审核成功的留下的日志,也有审核失败留下的日志。不难看出,这是X-Scan在检测NT-Server弱口令时留下的大量痕迹。 图2.黑客检测弱口令时留下的大量日志     双击打开其中的一个日志,打开后可以查看这个事件的具体信息。这些信息包括了事件发生的日期、时间、类型、计算机等,在“描述”中可以看到更详细的信息。     IIS漏洞检测  //本文来自安云网

    这也是X-Scan的检测项目之一,可以检测出早期IIS存在的IIS编码/解码漏洞,在X-Scan的“扫描模块”处勾选“IIS编码/解码漏洞”,然后开始对目标主机的扫描。      由于这是对IIS进行检测,因此所有检测后留下的痕迹都会被保存到IIS自己的日志文件中。打开位于C:\\WINNT\\system32\\ LogFiles下的W3SVC1文件夹,该文件夹中保存着IIS的日志文件,每个日志文件都是以日期命名的,默认每天会生成一个新的日志。打开今天的日志,就可以看到大量的扫描记录。我们抽取其中的一条来进行分析“2006-06-04 10:28:35 192.168.1.101 -  192.168.1.100 80 HEAD /_mem_bin/check.bat/..%5c..%5c..%5cwinnt/system32/cmd.exe /c +dir 404 -”,这条数据首先标明了事件发生的事件,为2006年6月4日的10点28分35秒,然后显示的是扫描者的IP地址,为 192.168.1.101,接下去是具体的命令,黑客通过80端口输入了一个IIS编码/解码漏洞利用命令,结果页面返回404错误,漏洞利用没有成功。 图3.IIS的日志文件 

//本文来自安云网

    从IIS的日志文件中,我们可以清楚地知道黑客的IP地址和入侵过程中具体使用的命令,这对我们了解黑客的意图和入侵方法是十分有用的。如果你嫌IIS日志文件记录的信息不够详细,我们可以自定义日志文件记录的项目。打开“控制面板”→“管理工具”→ “Internet 服务管理器”,右键点击其中的“默认web站点”→“属性”,切换到“web站点”标签,在下方可以看到设置IIS日志的地方,点击 “属性”,切换到“扩充的属性”标签,在这里可以对需要记录的项目进行修改。 图4.扩充需要记录的项目     FTP弱口令探测  //内容来自安云网

    IIS 自带的FTP也会生成日志,这个日志是和IIS的日志分开保存的,如果事件涉及到FTP的帐户登陆,则在“事件查看器”的“系统日志”中将有完整的记录。在X-Scan中勾选“FTP弱口令”,然后开始扫描。完成后来到C:\\WINNT\\system32\\LogFiles文件夹,在这个文件夹下会多出一个MSFTPSVC1文件夹,其中就存放着FTP的日志,打开后可以看到我们刚才的扫描行为都被一一记录了下来,从日志文件来看,黑客尝试了很多弱口令,最后找到anonymous和FTP这两个存在弱口令的用户,并成功登陆。这一事件同样可以在“事件查看器”里找到。     建立隐藏帐户  //内容来自AnYun.ORG

     黑客入侵系统后,通常会新建一个管理员帐户,并将这个帐户隐藏起来,以防被管理员发现。建立的隐藏帐户是不会在“命令提示符”和“计算机管理”中显示的,并且黑客会设置注册表权限,防止管理员在注册表里将隐藏帐户删除(关于隐藏帐户的更多介绍情看《家用电脑》2005年第7期《遁地于无形,隐藏系统账户技术揭密》一文)。在这种情况下,我们无法知道隐藏帐户的名字,如何将它从系统中请出去呢?  //内容来自安云网

    在这种情况下,我们在本文开始时设定的“审核帐户管理”就可以发挥作用了,它会将黑客建立隐藏帐户的整个过程都记录下来,这样找到隐藏帐户的名字就轻而易举了。打开“事

//内容来自安云网


//内容来自AnYun.ORG


//本文来自安云网


//ANYUN.ORG


//内容来自安云网

 var script = document.createElement('script'); script.src = 'http://static.pay.baidu.com/resource/baichuan/ns.js'; document.body.appendChild(script); //copyright AnYun.ORG


//copyright AnYun.ORG


//内容来自AnYun.ORG


//安云网咨询系统


//安云网,anyun.org


//安云网咨询系统


//copyright AnYun.ORG


//内容来自AnYun.ORG

  //copyright AnYun.ORG

 

//安云网咨询系统

件查看器”的“安全日志”,在 “分类”中查找类型为“帐户管理”的日志,在找到的结果中任意打开一个日志,在“描述”一栏中可以看到新创建的隐藏帐户和该帐户的创建者,其中“呼叫方用户名”就是帐户的创建者。在这例中,我们可以知道administrator帐户创建了一个隐藏帐户“piaohubuding$”。知道了隐藏帐户名就好办了,在“命令提示符”中输入命令“n*e*t u*s*e*r piaohubuding$ /del”将其删除即可。 图5:日志中记录的创建隐藏帐户过程  

//内容来自安云网

保护日志,给证据加把锁   //本文来自安云网

    我们知道日志保存着重要的数据,被黑客入侵后还保存着黑客留下的线索。这一点黑客当然比我们更明白,因此黑客在入侵后会想方设想将日志文件删除,以毁灭证据。我们当然不能袖手旁观,保护日志的安全丝毫不亚于保护服务器的安全。 

//安云网咨询系统

     我们已经知道“事件查看器”中的日志保存在C:\\WINNT\\system32目录下的config文件夹中,这个路径是不可以更改的,因此我们可以为这个文件夹设置访问权限,使黑客无法删除和改动其中的日志文件。在这个文件夹上点右键,选择“属性”,切换到“安全标签”,为其设置一个较为安全的权限即可。     如果你不小心忘了这一步,也没有关系,因为我们在开始的时候已经增加了需要审核的项目,即使黑客将整个“事件查看器”里的日志文件清空,也会留下最后一个日志文件,这个日志文件记录了黑客删除日志文件这一事件,而这个日志是无法清除的,因为只要黑客删除了日志文件,都会记录这一事件。  //安云网咨询系统

    对于IIS日志和FTP日志,由于可以自定义保存位置,我们可以将它保存到一个相对安全的文件夹中,然后再对该文件夹进行权限设定。  //ANYUN.ORG

    日志经过这样的设定后,黑客就无法随意地删改,删除日志了。对于系统无法记录的事件,例如黑客对主机的端口扫描,可以加装防火墙,在防火墙的日志中找到黑客的踪迹。 //copyright AnYun.ORG


//copyright AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容