十个细节做好服务器的入侵检测

　6.查看相关日志

　　服务器中的日志有很多类，与笔者认为与入侵检测相关首先是“安全”日志，该日志记录了用户(本地或者远程)系统的详细信息。另外，与服务器中运行的服务相关的比如DNS、IIS等也是入侵检测中特别注意的。

　　运行eventvwr.msc，点击“安全性”就可以在右边看到与安全相关的日志。比如第一条日志显示LW用户在2008-6-21的12:46:23远程登陆了系统图9，如果管理员自己没有登录或者系统中本来没有该用户，那么就可以断定服务器被入侵了。(图9)

图9

　　服务器中的日志信息往往非常多，要对这么多的日志信息进行分析显然是不可能的，我们可以在日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器根据自己的需要进行筛选，过滤无用的信息。如果要分析Web是否被入侵，可以打开“IIS管理器”定位到其日志文件进行查看。不过，web日志是非常多的，因此需要通过专门的工具进行分析，比如“Web Log Explorer”就是一款不错的工具，可以查看浏览者的IP及其该IP访问、下载或者修改了哪些文件等等。(图10)

图10

　　正因为，日志会记录入侵者的踪迹。所有狡猾的入侵者往往在入侵后会对日志进行操作，擦除入侵痕迹。常见的手段是：

　　(1).删掉日志。这是最低级的做法，虽然消除了日志，但也暴露了入侵者自己。如果是这样，管理员看到日志被删除可以马上断定服务器被入侵。

　　(2).部分删除。一些比较高明的入侵者在入侵结束后会删除日志中与自己相关的部分。如果这样，管理员可以实施对日志的监控保护，一旦发现日志有删除的痕迹就可以进行入侵检测。

　　(3).部分修改。这是一些高明的入侵者采用的方法，他们在入侵结束后会修改与自己相关的日志，以欺骗管理员或者嫁祸于人，金蝉脱壳。对才，管理员可以采取同上的方法，不过还要进行一定的分析。

　　最后，笔者以一个安全爱好者的角度建议管理员一定要备份好服务器的日志。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页

【责编:Zenghui】