秘境追蹤解讀日志讓黑客無處遁逃

■ 河南 劉景云

編者按：為了防止黑客入侵，我們通常會(huì)為系統(tǒng)打上各種補(bǔ)丁，安裝各種安全軟件，但是，百密必有一疏，一旦出現(xiàn)薄弱環(huán)節(jié)，黑客就會(huì)乘虛而入。如何發(fā)現(xiàn)系統(tǒng)安全配置上的不足之處，并及時(shí)堵上漏洞呢？其實(shí)通過對(duì)日志進(jìn)行深入分析，就可以找到黑客的活動(dòng)特點(diǎn)，有針對(duì)性的制定出更好的防御和反擊策略。

認(rèn)識(shí)和了解Windows 日志

日志對(duì)系統(tǒng)安全的重要性不言而喻。對(duì)于經(jīng)驗(yàn)豐富的管理員來說，通過分析日志可以對(duì)系統(tǒng)的安全狀態(tài)了如指掌。

點(diǎn)擊“Windows+R”鍵，執(zhí)行“eventvwr”命令，可以查看日志內(nèi)容。不管哪個(gè)版本W(wǎng)indows，都至少可以看到應(yīng)用程序日志、安全性日志和系統(tǒng)日志三類日志信息。

在默認(rèn)情況下，日志記錄的內(nèi)容并不全面，一些非常重要的安全性監(jiān)視項(xiàng)目并沒有激活。這樣雖然可以節(jié)省系統(tǒng)資源，但對(duì)安全性不利。運(yùn)行“gpedit.msc”程序，在組策略編輯器窗口左側(cè)選擇“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”項(xiàng)，在右側(cè)窗口中可以對(duì)多種審核策略進(jìn)行配置。

很多服務(wù)器使用的都是msSQL Server 數(shù)據(jù)庫，黑客在采用SQL 注入過程中，必然會(huì)涉及到SQL Server 的函數(shù)或存儲(chǔ)過程，這就會(huì)在數(shù)據(jù)庫的日志文件中留下痕跡信息。在默認(rèn)情況下，msSQL Server 日志文件保存在“C:Program FilesMicrosoft SQL ServerMSSQLLOG”目錄中。為了保證安全，需要會(huì)在服務(wù)器上安裝殺毒軟件或者防火墻軟件。這些安全軟件同樣有自己的日志記錄功能。如果在服務(wù)器上安裝了Serv-U 等服務(wù)軟件，也會(huì)產(chǎn)生對(duì)應(yīng)的日志文件。通過對(duì)這些日志文件的分析判讀，也可以發(fā)現(xiàn)黑客的蹤跡。……