关于2000 server安全日志的一些粗浅的研究结果

frie 2005-08-09

展开全文

请大家一起来保护我们自己，以下是我关于2000 server安全日志的一些粗浅的研究结果，目的是抛菜馒头引肉包子，希望有高手来具体指点一下我这样的入门者，如何反跟踪
   。
   今天看了一部网络方面的A片，情节还是老套路，什么国家安全局、情报局等等的什么玩意没什么好说的。看完后，我忽然对跟踪产生了兴趣，到底我们在网络上的活动会产生什么样的痕迹呢？OK，我先对我的机器开始了虚拟的攻击，用流光的2001对我的ftp密码字典攻击。然后我打开计算机管理工具，看系统事件的报告，好家伙全是黄色的警告，你登陆失败就会产生一个警告，如果只有一两个问题不大可几百个黄色的排在一起傻瓜都会知道自己处于被攻击的状态！点击一个item查看它的详细信息，呵呵，还好只有

   “该服务器因为错误登录失败: 未知的用户名或错误密码。而无法登录至 Windows NT 账号 ‘administrator‘。此数据为错误码。
   若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点: http://www.microsoft.com/contentredirect.asp 。”

   还没有ip信息。但忽然觉得没有道理啊，不可能有这么弱智的设计啊，获得对方的ip不是什么难的事情，没有道理不把这个信息加进去。在仔细看看事件的来源字段写着"msftpsvc1",这是什么？？？！！！把它搜索一下找到了，有一个system32/logfiles/msftpsvc1 目录。打开一看就是这个了，里面有很多ex010106这样格式的文件，数字部分对应的应该就是日期。打开今天的一看，靠，全在这里面，每条登陆ftp的信息都有包括最烦人的ip地址。好了，这个就是ftp的安全日志了。那么其他的日志在什么地方呢？肯定logfiles下面还有，果然在w35vc1下面是www服务的日志文件。于是我又对http登陆方式进行了一些虚拟攻击，发现里面也会有详细记载包括401这样http返回的错误码，如果看到自己保护的页面出现一大串401就可以判断遭到攻击，同样通过观察ip就知道攻击者的大概位置。不过这种事件并不会在事件查看器中产生警告信息，同时在日志里面也没有关于登陆者使用的用户名这一信息，这一点还是微软做得不够到位。

   同时我发现事件查看器里面的信息好象是各种信息的一种汇总，所以我有理由相信它一定不是直接调用日志文件。我打开事件管理器的操作菜单发现里面有打开日志文件这一选项，发现它有的是一种.evt格式的文件，显然不是我们上面看的日志文件，于是——搜索——发现在/system32/config的目录下面有三个.evt的文件，分别是sysevent.evt secevent.evt appevent.evt ，其中app是程序的，sys是系统的，sec应该就是安全的可奇怪的是用事件查看器并不能查看，会出现文件正被使用的信息。其他两个打开后和开始看到的没有什么区别。用notepad打开会发现不是文本格式的文件，也就是说很难或更改里面的东西很麻烦。这就有点不好办了，我们可以更改日志文件擦自己的脚印，而这个怎么搞呢？删掉？那还不是让他知道有人入侵了吗。好在里面没有ip放在那里也没有太大关系。所以说要不让对方发现自己的ip还有办法，要让他不知道被入侵就有点难了，请高手指点。

   最后谈谈一些感想。虽说我还只是知识大门前向里张望的小孩，但怎么说也有一些收获了。回想以前自己做的事情真有点后怕，不要误会，我还没有黑过任何一个主页，以后也不愿意干，我觉得有意思的东西不是干这个，知识的不断积累才最有意思。我后怕的是我在很多地方的脚印，太多了，现在想去擦也来不及了也记不清了，因为总有人不讲道理，我怕麻烦。所以我想给比我还后来的一些同志们提几点注意事项。
   1.不要在国内做实验，虽然国内漏洞多成功的机会大但是风险也大，国外相对安全多了，只要你是以知识为乐趣不是以破坏为乐趣，我相信基本是不会惹什么麻烦的。（唉！当时怎么没有人对我这样说）
   2.不要碰自己不熟悉的系统，我现在虽然也研究一些unix但在一些基本概念还不清楚的情况下我是不去碰的。呵呵，NT都还刚起步，以后的日子还长呢。
   3.确定目标之前先想好有多少把握能破解密码，把握不大就先别下手等技术成熟后再来。因为如果你能进去的话就能擦自己的脚印否则的话就只有看着脚印在上面呆着了。
   4.用web命令行攻击尽量使用代理。这个很重要，因为有代理这一层风险就小很多了，前提还是以知识为目的。顺便提一下在IE上设置代理只在IE上有用，也就是说如果你用基于www服务设计的攻击软件的话一样会留下你的ip脚印，但不包括我的unicode1.1，不知道有没有可以设置代理的攻击软件最好是能实现多重代理的，希望有高手能提供信息。我想研究一下代理，看能否在我以后的软件上加这个功能，不过很难因为我现在对代理机制还很迷茫。顺便问一下IE的代理高级设置上还有ftp代理的设置等等，他们有什么用，怎么用，哪里可以找到他们的代理服务器，是不是如果我设置了ftp代理，使用ftp就象浏览www一样会有个中间服务器接应呢？真的好希望有人能指点我，一个人研究这些东西真的太难，太费时间，要是有一群人一起研究就好了，大家分别研究成果共享那多好啊，毕竟科学不是孤胆英雄的事业。绿盟要人吗，招我进去好吗？（就你这样的，别为难绿盟了——画外音）好向往这样的工作啊！