『壹』 如何保護Web伺服器中日誌安全
Web日誌記錄了web伺服器接收處理請求,以及其運行時的錯誤等各種原始信息。通過對日誌進行統計、分析、綜合,就能有效地掌握伺服器的運行狀況,發現和排除錯誤、了解客戶訪問分布等,方便管理員更好地加強伺服器的維護和管理。另外,Web日誌也是判斷伺服器安全的一個重要依據,通過其可以分析判斷伺服器是否被入侵,並通過其可以對攻擊者進行反向跟蹤等。因此,對於Web日誌攻擊者往往以除之而後快。
一、攻擊者清除日誌的常用伎倆 1、Web伺服器系統中的日誌 以WindowsServer 2003平台的Web伺服器為例,其日誌包括:安全日誌、系統日誌、應用程序日誌、WWW日誌、FTP日誌等。對於前面的三類日誌可以通過「開始→運行」輸入eventvwr.msc打開事件查看器進行查看,WWW日誌和FTP日誌以log文件的形式存放在硬碟中。具體來說這些日誌對應的目錄和文件為: (1).安全日誌文件:C:WINDOWSsystem32configSecEvent.Evt (2).系統日誌文件:C:WINDOWSsystem32configSysEvent.Evt (3).應用程序日誌文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日誌默認位置:C: (5).WWW日誌默認位置:C:、非法清除日誌 上述這些日誌在伺服器正常運行的時候是不能被刪除的,FTP和WWW日誌的刪除可以先把這2個服務停止掉,然後再刪除日誌文件,攻擊者一般不會這么做的。系統和應用程序的日誌是由守護服務Event Log支持的,而它是沒有辦法停止的,因而是不能直接刪除日誌文件的。攻擊者在拿下Web伺服器後,一般會採用工具進行日誌的清除,其使用的工具主要是CL和CleanIISLog。 (1).利用CL徹底清除日誌 這個工具可以徹底清除IIS日誌、FTP日誌、計劃任務日誌、系統日誌、安全日誌等,使用的操作非常簡單。 在命令下輸入「cl -logfiles 127.0.0.1」就可以清除Web伺服器與Web和FTP和計劃任務相關的日誌。其原理就是先把FTP、WWW、Task Scheler服務停止再刪除日誌,然後再啟動三個服務。(圖2)celialin 該工具還可以選擇性地清除相應的日誌,比如輸入「cl -eventlog All」就會清除Web伺服器中與系統相關的日誌。另外,此工具支持遠程清理,這是攻擊者經常採用的方法。首先他們通過命令「netuse ipipc$ 密碼/user:用戶名」在本地和伺服器建立了管理員許可權的IPC管理連接,然後用「CL -LogFile IP」命令遠程清理服務日誌。(圖3)
(2).利用CleanIISLog選擇性地清理IIS日誌 比如攻擊者通過Web注入方式拿下伺服器,這樣他的入侵痕跡(IP地址)都留在了IIS日誌里。他們利用該工具只把其在IIS日誌中的IP地址進行清除,這樣就不會讓對方管理員起疑心。 在命令中執行「CleanIISLog . IP」就可以清除IIS日誌中有關該IP的連接記錄同時保留其它IP記錄。如果管理做了防範,比如更改了IIS日誌的路徑,攻擊者在確定了日誌的路徑後,也可以通過該工具進行清除,其操作是,在命令行下執行「CleanIISLog IIS日誌路徑 IP地址」來清除指定IIS路徑的IP記錄。(圖4)二、打造日誌伺服器保護日誌 通過上面的演示可以看到,如果將伺服器的日誌保存在本地是非常不安全的。而且,如果企業中的伺服器非常多的話,查看日誌會非常麻煩。基於以上考慮,打造專門的日誌伺服器,即有利於伺服器日誌的備份又有利用於集中管理。 筆者的做法是,搭建一個FTP伺服器用來日誌的集中和備份,可以在伺服器中通過專門的工具或者計劃任務來實現日誌的自動上傳備份。這部分內容比較簡單,筆者就不演示了。其實不僅可以將伺服器日誌備份到專門的日誌伺服器上,日誌伺服器還可以實現網路設備的日誌備份。 以路由器為例,首先在其上進行設置,指定記錄日誌的伺服器,最後通過FTP協議將日誌數據傳輸到FTP伺服器上。搭建FTP伺服器可以利用IIS的FTP或者Serv-u,但是筆者覺得IIS的FTP在許可權分配上不夠方便,而Serv-u有漏洞太多,因此推薦TYPSoft FTP。 1、架設日誌伺服器 TYPSoft FTP是綠色軟體,下載解壓後雙擊ftpserv.exe文件,啟動typsoft fip主程序。啟動後,點擊主界面菜單中的「設定→用戶」,建立新賬戶log。接著在用戶界面中設置log賬號所對應的用戶密碼和日誌保存的目錄,最後點擊「保存」按鈕使設置生效,這樣日誌伺服器就架好了。(圖5)2、日誌伺服器的指定 當搭建好日誌伺服器後,只需要到相應的網路設置中通過SYSLOG或LOG命令指定要保存日誌的伺服器地址即可,同時加上設置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設備上配置及指定日誌伺服器為例。 正常登錄到設備上然後在全局配置模式下輸入logging 192.168.1.10,它的意思是在路由器上指定日誌伺服器地址為192.168.1.10。接著輸入logging trap,它的意思是設置日誌伺服器接收內容,並啟動日誌記錄。trap後面可以接參數0到7,不同級別對應不同的情況,可以根據實際情況進行選擇。如果直接使用logging trap進行記錄的話是記錄全部日誌。配置完畢後路由交換設備可以發送日誌信息,這樣在第一時間就能發現問題並解決。日誌伺服器的IP地址,只要是能在路由交換設備上ping通日誌伺服器的IP即可,不一定要局限在同一網段內。因為FTP屬於TCP/IP協議,它是可以跨越網段的。(圖6) 總結:本文從攻擊者的角度解析對Web日誌的刪除和修改,目的是讓大家重視伺服器日誌的保護。另外,搭建專門的日誌伺服器不僅可以實現對日誌的備份,同時也更利用對日誌的集中管理。
『貳』 web日誌可以直接刪除嗎
可以刪除滴,
所有擴展名為.log的文件(都是日誌文件)都可以刪除。
『叄』 如何查看計算機安全性日誌中的刪除文件記錄。
C:\WINDOWS\System32\config\ 這個是日誌文件目錄
查歷史記錄,或者查cookie之類日誌。
歷史記錄在IE的歷史按鈕(一個鍾那個),cookie一般都存於c:\documents and settings\當前用戶名\local settings\temporary internet files中
以Windows XP為例,右鍵點擊「開始」按鈕,選擇「屬性」,在彈出的設置任務欄和開始菜單屬性對話窗中點「自定義」按鈕,在「自定義開始菜單」對話框中的「高級」標簽下點「清除列表」。若要讓系統永不自作多情記住使用文檔的記錄,請去掉「列出我最近打開的文檔」前的鉤。
小提示:XP會把最近訪問文檔的快捷方式放在C:\Documents and Settings\用戶名\Recent中,手工刪除它們也能讓文檔菜單「失去記憶」。
2.刪除臨時文件夾中的內容
當執行過安裝軟體、打開文檔等操作時,在臨時文件夾中會留下相應文件,可以手工清除在下列位置中的內容:C:\Windows\Temp、C:\Documents And Settings\用戶名\Local Settings\Temp。如在刪除時提示有文件在使用,就需要關掉相關程序,最好重啟一次再刪除。
3.清除「運行」、「查找」等處的歷史記錄
清除「運行」對話框中記錄的輸入內容,可修改注冊表。這些記錄被保存在「HKEY_CURRENT_USER
\Software\Microsoft\Windows\CurrentVersion\Explorer\
RunMRU」分支下,將其完全刪除後重啟。此外,該主鍵下的「DocFindSpecMRU」項,在右側欄目中顯示的是「查找」的歷史記錄,可一並刪除。
4.隱藏在IE中的行蹤
上網後,會有大量信息反映你的所作所為,這還了得?
①清空Internet臨時文件夾
別人查看「Internet臨時文件夾」下的圖片、Flash等文件便能大體知道你曾到過的網站。要清除它們,可依次單擊IE菜單欄中的「工具」→「Internet選項」,打開「Internet選項」對話框,在「常規」標簽中點擊「刪除文件」按鈕,在彈出的「刪除文件」窗口中勾選「刪除所有離線內容」,最後點擊「確定」。
②我不要「小甜餅」(Cookie)
Cookie也可能是泄密的一個「罪魁禍首」,在「Internet選項」對話框的「常規」標簽中單擊「刪除Cookies」按鈕,待彈出窗口後單擊「確定」按鈕,可刪除它們。
小提示:一種保險的辦法是在上網後,進入Internet臨時文件夾(該文件夾可在Internet選項對話框的「常規」選項下點「設置」來查看具體位置),刪除其下所有內容,這樣,臨時文件及Cookie等都會被清除。
③消除訪問網頁的歷史記錄
IE會將最近三周的訪問歷史記下,要「踏網無痕」可得清除它們,只要刪除「C:\Documents and Settings\用戶名\Local Settings\History」文件夾中的所有內容即可。也可在Internet選項對話框的「常規」標簽下點「清除歷史紀錄」按鈕。
要讓IE不記錄訪問歷史,請在Internet選項對話框的「常規」選項下,將網頁保存在歷史紀錄中的天數從默認的20改成0即可。
④清除IE記住的表單內容
當訪問網站時,一些網頁會提示輸入,例如,搜索時會要求輸入搜索內容、登錄郵箱則要填用戶名、密碼——這些東西會被IE自動記錄。要刪除它們,可在「Internet選項」對話框的「內容」標簽下點「自動完成」按鈕,在彈出的「自動完成設置」對話框中將「表單」、「表單上的用戶名和密碼」和「提示我保存密碼」前的鉤去掉,再單擊「清除表單」、「清除密碼」按鈕,當詢問時點「確定」。
⑤刪除地址欄列表中的網址
在IE地址欄中輸入要訪問站點的部分字母時會自動打開列表,其中有最近曾訪問的相匹配的站點,這也得清除。
在「Internet選項」對話框的「內容」標簽下單擊「自動完成」按鈕,打開「自動完成」對話框,去掉「Web地址」前的鉤。
若安裝了「中文網址」軟體,採用上法不能將地址欄列表中的「網路實名」清除,此時要在「Internet選項」對話框的「高級」選項卡下,選中「網路實名」中的「清除地址欄下拉列表中顯示的網路實名」項,單擊「確定」。
小提示:當完成上述操作後,千萬別忘清空回收站。若此處沒有收拾干凈,就將前功盡棄了