180 1932 5832
为了抵挡Internet网络病毒的疯狂袭击,许多网络管理员想出了各种方案来加强网络安全控制;不过其中的很多方案不是需要外力工具的帮忙,就是需要网络管理员熟悉服务器系统的各种安全设置,这对接触网络管理工作不久的 “新手”级管理员来说,不但显得有点麻烦,而且也有点高深。事实上,任何一台服务器系统在默认状态下会自动启用log功能,来将访问服务器系统的任何行为捕 捉、记录下来,网络管理员只要巧妙地学会使用log,同样也能够实现加强网络安全控制的目的!
一、实地分析,寻找安全隐患
某单位的IIS服务器在深夜时分遭受到黑客的非法攻击,当天值班的网络管理员小王发现IIS服务器不能正常工作后,立即电话联系了经验丰富的前辈级网络安全工程师老张。早上上班后,老张火速赶到IIS服务器现场,没有多长时间,老张就将攻击IIS服务器的非法攻击着找了出来,并且一并发现了 IIS服务器系统中的其他安全隐患。事实上,老张之所以能这么快寻找到IIS服务器系统中的安全隐患,主要就是因为他巧妙地利用了服务器系统自带的log功能。
一般来说,非法攻击者企图攻击目标IIS服务器系统时,往往会花费一番心思来收集目标IIS服务器系统的各种信息,通过一些专业级别的扫描工 具,来扫描目标IIS服务器系统此时此刻是否存在安全漏洞;而目标IIS服务器系统的log功能在默认状态下,能够自动记忆下各种访问过本地系统的行为,并 将这些记忆下来的内容存储到指定的log文件中,这个log文件中包含的内容往往有被扫描的服务器端口号码、访问用户名、客户端的IP地址等;仔细分析这些内容,我们往往就能大概判断出本地IIS服务器系统有没有安全隐患存在。
在查看本地系统的log文件时,我们可以先依次单击“开始”/“设置”/“控制面板”命令,然后用鼠标双击系统控制面板窗口中的“管理工具”图标,在弹出的管理工具窗口中再双击“事件查看器”选项,进入本地系统的事件查看器窗口。
在上图界面的左侧子窗格中,我们会看到log文件主要包含安全log、系统log、应用程序log这几种类型。用鼠标点选某一种类型的log文件,在对 需要文件的右侧子窗格中,我们就能看到所有log记录的列表了,用鼠标双击某一个log记录,在其后弹出的属性设置对话框中我们就能看到具体的记录内容了,根 据记录内容我们就能直观地了解到服务器系统在什么时间发生了什么事情。
对IIS服务器系统的各种log文件进行分析,我们就能看到各种审核事件的记录,这些内容记录了所有访问者在IIS服务器系统中的各种活动,通过对各种活动行为的分析,我们就能很轻易地找到本地IIS服务器系统究竟存在哪些安全隐患了。
不过,一些黑客在攻击了目标IIS服务器系统之后,往往会千方百计地想方案清空IIS服务器系统中各种类型的log文件,以便将它们攻击IIS 服务器系统时遗留下来的痕迹全部清除干净,那样一来网络管理员就无法从系统的各个log文件中,快速寻找到IIS服务器系统的各种安全隐患了。所以,有效地 保护好IIS服务器系统的log文件,对追查系统的安全隐患以及寻找非法攻击者具有很大的帮助。
如果遇到服务器系统log文件被删除的情况时,我们可以使用专业的数据恢复工具来尝试还原数据信息和log文件;因为删除log文件往往是非法攻击 者在IIS服务器系统中进行的Z后一项操作,一般来说他们在删除完log文件后不会在服务器系统中进行其他的操作了,所以在遇到log文件被非法删除的现象 时,我们千万不能向服务器系统执行任何添加删除操作,以便确保专业工具能够成功地将已经删除了的log文件恢复成功。
另外,要是IIS服务器系统工作的时间比较长,目标网站站点的访问流量比较大时,那么服务器自动生成的log文件可能就比较大,此时再按照上面的办法来分析 系统的各种log文件时,就显得十分麻烦,而且也不容易分析准确。为此,在这种情况下,我们需要借助专业的log分析工具来帮忙,当然也可以使用 Windows系统自带的“find”功能命令来帮忙。
当然有的时候,单纯依靠IIS服务器系统log文件,我们并不能明确找到某些安全隐患,这个时候还可以尝试借用其他软件的一些log记录,来进行进一步安全筛 查操作。例如,在IIS服务器系统的log文件中一旦发现有可疑的事件或对象时,我们需要将它们发生的具体时间记录下来,并且在所有log种类中筛选出指定时 间内记录下来的所有记录,然后综合分析一下防火墙程序的log文件或Serv-U程序的log文件,如此一来我们就能轻易找到具体的安全隐患了。
二、远程追踪,揪出非法黑客
