巧用日志追捕黑客行蹤

2019-11-25 08:56:08河南劉景云

網(wǎng)絡(luò)安全和信息化 2019年11期

■河南劉景云

分析日志，應(yīng)對黑客的掃描

點擊“Win+R”鍵，執(zhí)行“eventvwr.msc”命令，就可以打開查看日志內(nèi)容，包括應(yīng)用程序日志、安全性日志、系統(tǒng)日志三類日志信息。

運行“gpedit.msc”程序，在組策略編輯器窗口左側(cè)選擇“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”項，在右側(cè)窗口中可以對多種審核策略進行配置。例如，雙擊“審核賬戶登錄事件”項，在彈出窗口中選擇“成功”和“失敗”項。這樣，所有和登錄有關(guān)的事件都會被記錄下來。

一般來說，只需激活“審核賬戶登錄事件”和“審核策略更改”這兩項策略就可以了。

在實際的工作中，需要的是針對黑客的具體攻擊行為對日志進行有效地分析，來提高系統(tǒng)的安全性。

例如，當(dāng)某臺服務(wù)器上安裝有IIS 組件、MS SQL Server 數(shù)據(jù)庫，以及公司官網(wǎng)和論壇等網(wǎng)站。管理員就是通過系統(tǒng)日志及時發(fā)現(xiàn)黑客發(fā)起的掃描探測行為的。在事件查看器窗口左側(cè)選擇“安全性”項，在右側(cè)窗口發(fā)現(xiàn)了可疑的審核日志，選擇某條日志，在其“來源”欄中顯示“MSFTPSVC”字樣，表示其來自于FTP 服務(wù)模塊。

在“描述”欄中顯示登錄失敗信息，連接者使用了未知的用戶名和錯誤的密碼，而且顯示器使用的FTP 賬戶名為“root”。根據(jù)這些信息，可以看出黑客在使用了某些FTP 破解工具，對IIS 中的FTP 服務(wù)進行檢測。

由此看出，為FTP 服務(wù)器設(shè)置復(fù)雜的密碼，可以大大增加黑客破解的難度。打開“C:WINDOWSsystem32LogFiles”目錄，在其中可以找到和FTP 相關(guān)的日志文件，分析后發(fā)現(xiàn)黑客利用字典對FTP 服務(wù)器進行賬戶和密碼的猜測。

在默認情況下，黑客掃描工具還會對目標(biāo)主機進行IIS 漏洞檢測，這些檢測都會在IIS 日志中留下痕跡。打開日志存儲路徑（例如“C:WINDOWSsystem32LogFilesW3SVC1”），找到與對應(yīng)日志相符的日志文件（例如“ex180930.log”等），使用記事本將其打開后，可查閱其內(nèi)容，并發(fā)現(xiàn)與黑客攻擊事件相關(guān)的內(nèi)容，包括日期、事件、客戶端IP 地址、客戶端用戶名、服務(wù)器地址、服務(wù)器端口、請求資源所使用的方法、所請求的URI 資源、返回狀態(tài)以及客戶端使用的瀏覽器類型等。為了有效保護系統(tǒng)安全，必須及時其打上各種補丁，來防止可能被黑客利用的漏洞。

溢出攻擊對日志的影響

當(dāng)黑客對目標(biāo)機進行全面掃描后，會根據(jù)掃描到的漏洞對其發(fā)起實際的攻擊。

例如，如果被攻擊主機上存在一個可以溢出的漏洞，黑客就會利用其得到具有很大權(quán)限的CMDShell 控制接口，進入對該主機進行深入破壞。對于危害性比較大的漏洞來說，甚至可以使用多個不同的服務(wù)（例如IIS 服務(wù)、SMTP 服務(wù)等），來執(zhí)行溢出操作，因為不同的服務(wù)開啟的端口是不同的，因此就給了黑客更大的攻擊活動空間。

對于此類攻擊行為，可以在事件查看器左側(cè)選擇“系統(tǒng)日志”項，可以發(fā)現(xiàn)由此產(chǎn)生的錯誤日志信息。查看其詳細信息，會發(fā)現(xiàn)與之關(guān)聯(lián)的各種錯誤信息。

例如，相關(guān)服務(wù)的進程遇到了錯誤，系統(tǒng)將試圖恢復(fù)；系統(tǒng)內(nèi)存出現(xiàn)不足的問題，要求用戶檢查虛擬內(nèi)存是否消耗完；相關(guān)服務(wù)的運行出現(xiàn)錯誤，系統(tǒng)試圖從中恢復(fù)，如果恢復(fù)失敗，需要檢查之前的時間日志來確定恢復(fù)失敗的原因，采取適當(dāng)?shù)牟僮鱽斫鉀Q該問題；某個安全程序包出現(xiàn)了意外的情況，程序包被停用，意外現(xiàn)象信息是數(shù)據(jù)等等。

從具體的實例進行分析，可以得出這樣的結(jié)論，當(dāng)黑客針對某個系統(tǒng)漏洞進行攻擊操作后，如果對應(yīng)的服務(wù)出錯，就會被系統(tǒng)日志完整記錄下來，但是顯示的方式和內(nèi)容并不直觀，提供的信息量也比較有限。甚至有些漏洞攻擊系統(tǒng)并不記錄。

因此，完全依賴系統(tǒng)日志功能，是不足以對付漏洞攻擊行為的。為了彌補這一不足，可以帶有主動防御功能的殺軟，無需復(fù)雜的設(shè)置就可以對這類攻擊進行精準(zhǔn)探測和防御。例如，當(dāng)發(fā)現(xiàn)黑客發(fā)起漏洞攻擊時，這類殺軟會彈出警告窗口，顯示攻擊者的IP 以及涉及的漏洞等內(nèi)容，用戶不必進行管理，就可以自動攔截其攻擊行為，讓黑客鎩羽而歸。

在日志尋找注入的痕跡

因為很多網(wǎng)站采用了MS SQL Server 數(shù)據(jù)庫，黑客在入侵此類網(wǎng)站時，往往會使用注入的方式對網(wǎng)站進行滲透。

對日志進行分析，不難發(fā)現(xiàn)其蹤跡。例如，某網(wǎng)站出現(xiàn)被黑客入侵的情況，管理庫員使用UltraEdit32 這款編輯軟件，打開IIS 日志文件，來尋找有用的線索。例如，在UltraEdit32 主界面中點擊“Ctrl+F”鍵，在搜索窗口中輸入：

'and '%25'='#25 等內(nèi)容，搜索與其關(guān)聯(lián)的信息。

執(zhí)行搜索操作后，UltraEdit32 很快就在日志文件中找到了很多信息，為了便于觀察，在工具欄上點擊“全部書簽”按鈕，讓搜索到的數(shù)據(jù)高亮顯示。對這些日志行進行逐一分析，可以很容易發(fā)現(xiàn)疑點。例如，在某行記錄中顯示一個“x.x.x.x”的可疑IP 在某天凌晨訪問了Web 服務(wù)器的“/article.aspx”頁面，并且發(fā)現(xiàn)其提供的ID 變量為過濾對象，使用了“and 1=1”的字符串，對Web 服務(wù)器進行手工探測，并且其訪問返回的數(shù)據(jù)類型為200，表示代碼已經(jīng)成功執(zhí)行了。

因為已經(jīng)掌握了該可疑訪問者的IP，就可以順藤摸瓜進行深入分析了。在UltraEdit32 的搜索窗口中輸入該IP，執(zhí)行搜索操作后，所有與其相關(guān)的日志行被全部顯示出來，根據(jù)這些信息可以清楚地看到該訪問者第一次訪問本W(wǎng)eb 服務(wù)器的時間，請求過的所有資源項目，訪問和探測的次數(shù)等。對這些信息進行綜合分析，發(fā)現(xiàn)該訪問者在初次訪問服務(wù)器后，很快就執(zhí)行了針對上傳頁面、數(shù)據(jù)庫路徑、后臺管理地址等目標(biāo)的掃描操作了。

根據(jù)其頻繁的訪問記錄來看，應(yīng)該使用了專用的注入工具，對網(wǎng)站進行了快速的掃描檢測操作。繼續(xù)分析與黑客使用的IP 相關(guān)的日志，可以看到其提交的數(shù)據(jù)內(nèi)容，利用SQL 注入來執(zhí)行各種指令，例如查看C 盤目錄等。同時還發(fā)現(xiàn)了在具體的網(wǎng)站路徑下非法寫入的文件，繼續(xù)進行分析，發(fā)現(xiàn)黑客還上傳了木馬程序，并且在數(shù)據(jù)庫中創(chuàng)建新的表來存儲非法信息。例如，將C 盤中的全部文件信息導(dǎo)入到該表中，便于黑客查詢之用。

當(dāng)然，使用SQL Server提供的日志功能也有助于發(fā)現(xiàn)黑客行蹤。在SQL Server企業(yè)管理器中依次打開“管理”、“SQL Server 日志”項，可查看日志信息來發(fā)現(xiàn)不法行為。注意，上述對日志的檢測分析是基于未編碼的明文格式，如果黑客使用了比較強悍的入侵掃描工具對Web 服務(wù)器進行入侵時，在日志中會看到與之相關(guān)的內(nèi)容全部處于編碼狀態(tài)，這給分析工作帶來了繁瑣。其實，使用UltraEdit32 工具可以輕易將其破解，使用UltraEdit32 打開IIS 日志文件，在其窗口底部點擊解碼按鈕，就可以進行解碼，還原其本來面目了。

細心觀察，讓木馬露出破綻

好多網(wǎng)站都提供了論壇版塊，而論壇版塊幾乎都是利用現(xiàn)成的模板包，只是對其顯示內(nèi)容進行修改，使之符合自己的風(fēng)格而已。在這些現(xiàn)成的論壇程序中不免存在各種漏洞，一旦被黑客惡意利用（尤其是文件上傳漏洞）就可以輕松上傳ASP，PHP 木馬等惡意程序獲得WebShell 控制接口，進而執(zhí)行查閱敏感信息，搜尋重要文件，非法提權(quán)等操作，這對網(wǎng)站甚至服務(wù)器造成不小的威脅。

打開對應(yīng)的IIS 日志文件，不難發(fā)現(xiàn)這些木馬的蹤跡。例如，如果出現(xiàn)了類似于“POST/shell.asp PageN ame=MsdateBase&theAct=qu ery&sqlStr=后臺數(shù)據(jù)庫路徑編碼”的內(nèi)容，說明其執(zhí)行了特定的SQL 語句，但是沒有記錄具體的內(nèi)容。而看到“POST/shell.asp %23=Ex ecute(Session(%22%23%22))&pageName=FsoFIleExpl orer&theAct=upload&theP ath=具體Web 路徑+cmd.com&overWrite=false 80-服務(wù)器IP”之類的內(nèi)容，說明黑客上傳了CMD.exe 程序（當(dāng)然，也可以是其他程序），然后黑客就可以執(zhí)行各種命令了。根據(jù)這些信息，說明網(wǎng)站已經(jīng)遭到了黑客的攻擊，接下來就要使用各種安全工具，來搜捕斌清除這些惡意程序。

保護日志，禁止黑客破壞入侵現(xiàn)場

當(dāng)黑客入侵之后，必然會使用各種黑客工具對日志進行刪除，來掩蓋其蹤跡。因此，對日志進行保護就顯得非常重要了。

因此，如果想保護系統(tǒng)日志，最直接的辦法就是更改存放位置，讓別人找不到其藏身地。打開注冊表編輯器，在其中展開“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesEventlog”分支，在其下可以看到與所有日志項目關(guān)聯(lián)的子鍵。例如，“application”、“security”、“system”等，分別與應(yīng)用程序、安全、系統(tǒng)等日志對應(yīng)。

選擇所需的日志子健名，在右側(cè)窗口中雙擊“file”鍵值名，可以修改該日志文件的存儲位置。之后，將原日志全部復(fù)制到路徑中。當(dāng)然，也可以分別針對每個日志項目，分別指定新的存儲路徑并完成復(fù)制操作。之后重新啟動系統(tǒng)，可以完成日志文件的遷移操作。如果系統(tǒng)中安裝了IIS組件，還涉及到Web 日志文件的搬遷問題。其方法是在Internet 信息服務(wù)管理器中選擇目標(biāo)站點，在屬性窗口中的“網(wǎng)站”面板中勾選“啟用日志記錄”項，點擊“屬性”按鈕，在常規(guī)屬性面板中點擊“瀏覽”按鈕，更改Web日志存放路徑。