利用WEB日志判斷服務(wù)器的安全性

Web日志是判斷服務(wù)器安全的一個重要依據(jù)，通過其可以分析判斷服務(wù)器是否被入侵，并通過其可以對攻擊者進行反向跟蹤等。因此，對于Web日志攻擊者往往以除之而后快。

一、攻擊者清除日志的常用伎倆

1、Web服務(wù)器系統(tǒng)中的日志

以Windows Server 2003平臺的Web服務(wù)器為例，其日志包括：安全日志、系統(tǒng)日志、應用程序日志、WWW 日志、FTP日志等。對于前面的三類日志可以通過“開始→運行”輸入eventvw r.msc打開事件查看器進行查看，WWW 日志和FTP日志以log文件的形式存放在硬盤中。

（1）安全日志文件：C：WINDOWSsystem32configSecEvent.Evt

（2）系統(tǒng)日志文件：C：WINDOWSsystem32configSysEvent.Evt

（3）用程序日志文件：C：WINDOWSsystem32configAppEvent.Evt

（4）FTP日志默認位置：C：WINDOWSsystem32LogfilesMSFTPSVC1

（5）WWW日志默認位置：C：WINDOWSsystem32LogfilesW 3SVC1

2、非法清除日志

上述這些日志在服務(wù)器正常運行的時候是不能被刪除的，F(xiàn)TP和WWW 日志的刪除可以先把這2個服務(wù)停止掉，然后再刪除日志文件，攻擊者一般不會這么做的。系統(tǒng)和應用程序的日志是由守護服務(wù)Event Log支持的，而它是沒有辦法停止的，因而是不能直接刪除日志文件的。攻擊者在拿下Web服務(wù)器后，一般會采用工具進行日志的清除，其使用的工具主要是CL和Clean IISLog。

（1）利用CL徹底清除日志

這個工具可以徹底清除IIS日志、FTP日志、計劃任務(wù)日志、系統(tǒng)日志、安全日志等，使用的操作非常簡單。

在命令下輸入“cl-logfiles 127.0.0.1”就可以清除Web服務(wù)器與Web和FTP和計劃任務(wù)相關(guān)的日志。其原理就是先把FTP、WWW、Task Scheduler服務(wù)停止再刪除日志，然后再啟動3個服務(wù)。

該工具還可以選擇性地清除相應的日志，比如輸入“cl-eventlog All”就會清除Web服務(wù)器中與系統(tǒng)相關(guān)的日志。另外，此工具支持遠程清理，這是攻擊者經(jīng)常采用的方法。首先他們通過命令“net useipipc$密碼/user：用戶名”在本地和服務(wù)器建立了管理員權(quán)限的IPC 管理連接，然后用“CL-LogFile IP”命令遠程清理服務(wù)日志。

（2）利用Clean IISLog選擇性地清理IIS日志

比如攻擊者通過Web注入方式拿下服務(wù)器，這樣他的入侵痕跡（IP地址）都留在了IIS日志里。他們利用該工具只把其在IIS日志中的IP地址進行清除，這樣就不會讓對方管理員起疑心。

在命令中執(zhí)行“Clean IISLog.IP”就可以清除IIS日志中有關(guān)該IP的連接記錄同時保留其他IP記錄。如果管理做了防范，比如更改了IIS日志的路徑，攻擊者在確定了日志的路徑后，也可以通過該工具進行清除，其操作是，在命令行下執(zhí)行“Clean IISLog IIS日志路徑IP地址”來清除指定IIS路徑的IP記錄。

二、打造日志服務(wù)器保護日志

通過上面的演示可以看到，如果將服務(wù)器的日志保存在本地是非常不安全的。而且，如果企業(yè)中的服務(wù)器非常多的話，查看日志會非常麻煩?；谝陨峡紤]，打造專門的日志服務(wù)器，即有利于服務(wù)器日志的備份又有利用于集中管理。

筆者的做法是，搭建一個FTP服務(wù)器用來日志的集中和備份，可以在服務(wù)器中通過專門的工具或者計劃任務(wù)來實現(xiàn)日志的自動上傳備份。這部分內(nèi)容比較簡單，筆者就不演示了。其實不僅可以將服務(wù)器日志備份到專門的日志服務(wù)器上，日志服務(wù)器還可以實現(xiàn)網(wǎng)絡(luò)設(shè)備的日志備份。

以路由器為例，首先在其上進行設(shè)置，指定記錄日志的服務(wù)器，最后通過FTP協(xié)議將日志數(shù)據(jù)傳輸?shù)紽TP服務(wù)器上。搭建FTP服務(wù)器可以利用IIS的FTP或者Serv-u，但是筆者覺得IIS的FTP在權(quán)限分配上不夠方便，而Serv-u有漏洞太多，因此推薦TYPSoft FTP。

1、架設(shè)日志服務(wù)器

TYPSoft FTP是綠色軟件，下載解壓后雙擊ftpserv.exe文件，啟動typsoft fip主程序。啟動后，點擊主界面菜單中的“設(shè)定→用戶”，建立新賬戶log。接著在用戶界面中設(shè)置log賬號所對應的用戶密碼和日志保存的目錄，最后點擊“保存”按鈕使設(shè)置生效，這樣日志服務(wù)器就架好了。

2、日志服務(wù)器的指定

當搭建好日志服務(wù)器后，只需要到相應的網(wǎng)絡(luò)設(shè)置中通過SYSLOG或LOG命令指定要保存日志的服務(wù)器地址即可，同時加上設(shè)置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設(shè)備上配置及指定日志服務(wù)器為例。

正常登錄到設(shè)備上然后在全局配置模式下輸入 logging 192.168.1.10，它的意思是在路由器上指定日志服務(wù)器地址為1 92.168.1.10。接著輸入logging trap，它的意思是設(shè)置日志服務(wù)器接收內(nèi)容，并啟動日志記錄。trap后面可以接參數(shù)0到7，不同級別對應不同的情況，可以根據(jù)實際情況進行選擇。如果直接使用logging trap進行記錄的話是記錄全部日志。配置完畢后路由交換設(shè)備可以發(fā)送日志信息，這樣在第一時間就能發(fā)現(xiàn)問題并解決。日志服務(wù)器的IP地址，只要是能在路由交換設(shè)備上ping通日志服務(wù)器的IP即可，不一定要局限在同一網(wǎng)段內(nèi)。因為 FTP屬于TCP/IP協(xié)議，它是可以跨越網(wǎng)段的。