日志清除技術(shù)(1)ppt課件

1、第17講 日志去除技術(shù) 答疑地點：12J810|12J806網(wǎng)絡(luò)答疑：252175436 答疑時間：周三上午9:30-11:00內(nèi)容提綱 Windows日志原理 IPC$空鏈接 LINUX日志原理 防御技術(shù)和方案Windows日志原理 日志文件是一類文件系統(tǒng)的集合，經(jīng)過對日志進展統(tǒng)計、分析、綜合，可有效的掌握系統(tǒng)的運轉(zhuǎn)情況。 因此，無論是系統(tǒng)管理員還是黑客都極其注重日志文件。管理員可以經(jīng)過日志文件查看系統(tǒng)的平安性，找到入侵者的IP地址和各種入侵證據(jù)。 黑客會在入侵勝利后迅速去除對本人不利的日志，以免留下蛛絲馬跡。2021-11-263Windows日志原理 Windows的日志文件通常有運用程

2、序日志，平安日志、系統(tǒng)日志、IIS日志等等，能夠會根據(jù)效力器所開啟的效力不同。2021-11-264Windows日志原理 各日志文件的默許位置如下： 平安日志文件：%systemroot%system32configSecEvent.EVT 系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT 運用程序日志文件：%systemroot%system32configAppEvent.EVT Internet信息效力FTP日志默許位置：%systemroot%system32logfilesmsftpsvc1，默許每天一個日志 Internet信息效力WWW

3、日志默許位置：%systemroot%system32logfilesw3svc1，默許每天一個日志2021-11-265Windows日志原理2021-11-266 在事件日志中，以下面幾種情況來表示整個系統(tǒng)運轉(zhuǎn)過程中出現(xiàn)的事件： 1“錯誤是指比較嚴(yán)重的問題，通常是出現(xiàn)了數(shù)據(jù)喪失或功能喪失； 2“警告那么闡明情況暫時不嚴(yán)重，但能夠會在未來引起錯誤，比如磁盤空間太少等； 3“信息那么是記錄運轉(zhuǎn)勝利的事件。另外，平安日志那么直接以勝利審核和失敗審核來標(biāo)識事件的勝利與否。IPC$空鏈接 在去除系統(tǒng)日志、平安日志和運用程序日志時，我們需求首先和目的機器建立IPC$空鏈接。 IPC$(Internet

4、 Process Connection)是共享命名管道的資源，它是為了讓進程間通訊而開放的命名管道，經(jīng)過提供可信任的用戶名和口令，銜接雙方可以建立平安的通道并以此通道進展加密數(shù)據(jù)的交換，從而實現(xiàn)對遠(yuǎn)程計算機的訪問。2021-11-267IPC$空鏈接 IPC$有一個特點，即在同一時間內(nèi)，兩個IP之間只允許建立一個銜接。 在初次安裝系統(tǒng)時就翻開了默許共享，即一切的邏輯共享(c$,d$,e$)和系統(tǒng)目錄winnt或windows(admin$)共享。 一切的這些，微軟的初衷都是為了方便管理員的管理，但在有意無意中，導(dǎo)致了系統(tǒng)平安性的降低2021-11-268IPC$空鏈接2021-11-269 刪

5、除遠(yuǎn)程主機日志時能夠會用到的相關(guān)命令： 1 建立空銜接: net use IPipc$ /user: 2 建立非空銜接: net use IPipc$ psw /user:account 3 查看遠(yuǎn)程主機的共享資源 net view IP 4 查看本地主機的共享資源可以看到本地的默許共享 net share 5 得到遠(yuǎn)程主機的用戶名列表 nbtstat -A IPIPC$空鏈接6 得到本地主機的用戶列表net user7 查看遠(yuǎn)程主機的當(dāng)前時間net time IP8 顯示本地主機當(dāng)前效力net start9 啟動/封鎖本地效力net start 效力名 /ynet stop 效力名 /y10

6、 映射遠(yuǎn)程共享:net use z: IPbaby此命令將共享名為baby的共享資源映射到z盤2021-11-2610IPC$空鏈接 11 刪除共享映射 net use c: /del 刪除映射的c盤，其他盤類推 net use * /del /y刪除全部 12 向遠(yuǎn)程主機復(fù)制文件 copy 途徑srv.exe IP共享目錄名，如： copy ccbirds.exe *.*.*.*c 即將當(dāng)前目錄下的文件復(fù)制到對方c盤內(nèi) 13 遠(yuǎn)程添加方案義務(wù) at ip 時間 程序名，如： at 11:00 love.exe2021-11-2611LINUX日志 LINUX網(wǎng)管員主要是靠

7、系統(tǒng)的LOG，來獲得入侵的痕跡。當(dāng)然也有第三方工具記錄入侵系統(tǒng)的痕跡。主要的日志子系統(tǒng)： 1.銜接時間日志-由多個程序執(zhí)行，把記錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員可以跟蹤誰在何時登錄到系統(tǒng)。 2.進程統(tǒng)計-由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個進程終止時，為每個進程往進程統(tǒng)計文件pacct或acct中寫一個記錄。進程統(tǒng)計的目的是為系統(tǒng)中的根本效力提供命令運用統(tǒng)計。 3.錯 誤 日 志 - 由 syslogd8執(zhí) 行。各 種 系 統(tǒng) 守 護 進 程、用 戶 程 序 和 內(nèi) 核 通 過 syslog3向 文件/var/log/m

8、essages報告值得留意的事件。2021-11-2612常用的日志文件如下 access-log：記錄HTTP/web的傳輸 acct/pacct：記錄用戶命令 aculog：記錄MODEM的活動 btmp：記錄失敗的記錄 lastlog：記錄最近幾次勝利登錄的事件和最后一次不勝利的登錄 messages：從syslog中記錄信息有的鏈接到syslog文件 sudolog：記錄運用sudo發(fā)出的命令 sulog：記錄運用su命令的運用 syslog：從syslog中記錄信息通常鏈接到messages文件 utmp：記錄當(dāng)前登錄的每個用戶 wtmp：一個用戶每次登錄進入和退出時間的永久記錄 x

9、ferlog：記錄FTP會話2021-11-2613LINUX日志 redhat的系統(tǒng)日志文件通常是存放在/var/log 和 /var/run目錄下的。通常我們可以查看syslog.conf來看看日志配置的情況。2021-11-2614防御技術(shù)和方案 1修正注冊表從而制止Guest訪問事件日志 2) 對日志進展平安配置, 更改日志默許大小 3防備ipc$入侵 1制止空銜接進展枚舉 在本地平安設(shè)置本地戰(zhàn)略平安選項在對匿名銜接的額外限制中做相應(yīng)設(shè)置。 2制止默許共享 a查看本地共享資源 運轉(zhuǎn)-cmd-輸入net share b刪除共享重起后默許共享依然存在 net share ipc$ /del

10、ete net share admin$ /delete net share c$ /delete net share d$ /delete假設(shè)有e,f,可以繼續(xù)刪除 c停頓server效力 net stop server /y 重新啟動后server效力會重新開啟2021-11-2615防御技術(shù)和方案d制止自動翻開默許共享此操作并未封鎖ipc$共享運轉(zhuǎn)-regeditserver版:找到主鍵HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters把AutoShareServerDWORD的鍵值改為:00000000。pro版:找到主鍵HKEY_LOCAL_M