【教学课件】第17讲日志清除技术.ppt

《【教学课件】第17讲日志清除技术.ppt》由会员分享，可在线阅读，更多相关《【教学课件】第17讲日志清除技术.ppt（16页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第17讲 日志清除技术 答疑地点：12J810|12J806网络答疑：QQ：252175436 答疑时间：周三上午9:30-11:00内容提纲Windows日志原理IPC$空链接LINUX日志原理防御技术和方案2023/1/92Windows日志原理日志文件是一类文件系统的集合，通过对日志进行统计、分析、综合，可有效的掌握系统的运行状况。因此，无论是系统管理员还是黑客都极其重视日志文件。管理员可以通过日志文件查看系统的安全性，找到入侵者的IP地址和各种入侵证据。黑客会在入侵成功后迅速清除对自己不利的日志，以免留下蛛丝马迹。2023/1/93Windows日志原理Windows的日志文件通常有应

2、用程序日志，安全日志、系统日志、IIS日志等等，可能会根据服务器所开启的服务不同。2023/1/94Windows日志原理各日志文件的默认位置如下：安全日志文件：%systemroot%system32configSecEvent.EVT系统日志文件：%systemroot%system32configSysEvent.EVT应用程序日志文件：%systemroot%system32configAppEvent.EVTInternet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志Internet信息服务WWW日志默认位置

3、：%systemroot%system32logfilesw3svc1，默认每天一个日志2023/1/95Windows日志原理2023/1/96在事件日志中，以下面几种情况来表示整个系统运行过程中出现的事件：1）“错误”是指比较严重的问题，通常是出现了数据丢失或功能丢失；2）“警告”则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太少等；3）“信息”则是记录运行成功的事件。另外，安全日志则直接以成功审核和失败审核来标识事件的成功与否。IPC$空链接在清除系统日志、安全日志和应用程序日志时，我们需要首先和目标机器建立IPC$空链接。IPC$(Internet Process Conn

4、ection)是共享命名管道的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。2023/1/97IPC$空链接IPC$有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。在初次安装系统时就打开了默认共享，即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低2023/1/98IPC$空链接2023/1/99删除远程主机日志时可能会用到的相关命令：1）建立

5、空连接:net use IPipc$/user:2）建立非空连接:net use IPipc$psw/user:account3）查看远程主机的共享资源net view IP4）查看本地主机的共享资源（可以看到本地的默认共享）net share5）得到远程主机的用户名列表nbtstat-A IPIPC$空链接6）得到本地主机的用户列表net user7）查看远程主机的当前时间net time IP8）显示本地主机当前服务net start9）启动/关闭本地服务net start 服务名/ynet stop 服务名/y10）映射远程共享:net use z:IPbaby此命令将共享名为baby的

6、共享资源映射到z盘2023/1/910IPC$空链接11）删除共享映射net use c:/del 删除映射的c盘，其他盘类推net use*/del/y删除全部12）向远程主机复制文件copy 路径srv.exe IP共享目录名，如：copy ccbirds.exe*.*.*.*c 即将当前目录下的文件复制到对方c盘内13）远程添加计划任务at ip 时间 程序名，如：at 127.0.0.0 11:00 love.exe2023/1/911LINUX日志LINUX网管员主要是靠系统的LOG，来获得入侵的痕迹。当然也有第三方工具记录入侵系统的痕迹。主要的日志子系统：1.连接时间日志-由多个程

7、序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。2.进程统计-由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。3.错 误 日 志-由 syslogd（8）执 行。各 种 系 统 守 护 进 程、用 户 程 序 和 内 核 通 过 syslog（3）向 文件/var/log/messages报告值得注意的事件。2023/1/912常用的日志文件如下access-log：记录HTTP/we

8、b的传输acct/pacct：记录用户命令aculog：记录MODEM的活动btmp：记录失败的记录lastlog：记录最近几次成功登录的事件和最后一次不成功的登录messages：从syslog中记录信息（有的链接到syslog文件）sudolog：记录使用sudo发出的命令sulog：记录使用su命令的使用syslog：从syslog中记录信息（通常链接到messages文件）utmp：记录当前登录的每个用户wtmp：一个用户每次登录进入和退出时间的永久记录xferlog：记录FTP会话2023/1/913LINUX日志redhat的系统日志文件通常是存放在/var/log 和/var/r

9、un目录下的。通常我们可以查看syslog.conf来看看日志配置的情况。2023/1/914防御技术和方案1）修改注册表从而禁止Guest访问事件日志2)对日志进行安全配置,更改日志默认大小3）防范ipc$入侵（1）禁止空连接进行枚举在本地安全设置本地策略安全选项在对匿名连接的额外限制中做相应设置。（2）禁止默认共享a）查看本地共享资源运行-cmd-输入net shareb）删除共享（重起后默认共享仍然存在）net share ipc$/deletenet share admin$/deletenet share c$/deletenet share d$/delete（如果有e,f,可以继

10、续删除）c）停止server服务net stop server/y（重新启动后server服务会重新开启）2023/1/915防御技术和方案d）禁止自动打开默认共享（此操作并未关闭ipc$共享）运行-regeditserver版:找到主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters把AutoShareServer（DWORD）的键值改为:00000000。pro版:找到主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters把AutoShareWks（DWORD）的键值改为:00000000。（3）关闭ipc$和默认共享依赖的服务erver服务（4）屏蔽139，445端口（5）设置复杂密码，防止通过ipc$穷举出密码。2023/1/916