WEB开发网
开发学院网络安全安全技术 如何利用日志分析抵制外部入侵 阅读

如何利用日志分析抵制外部入侵

 2007-06-24 13:04:26 来源:WEB开发网   
核心提示: 0318 127.0.0.1 [1]PASS – 530(登录失败) 032:04 127.0.0.1 [1]USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录) 032:06 127.0.0.1 [1]PASS – 530(登录失败)

0318 127.0.0.1 [1]PASS – 530(登录失败)

032:04 127.0.0.1 [1]USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录)

032:06 127.0.0.1 [1]PASS – 530(登录失败)

032:09 127.0.0.1 [1]USER cyz 331(IP地址为127.0.0.1用户名为cyz的用户试图登录)

0322 127.0.0.1 [1]PASS – 530(登录失败)

0322 127.0.0.1 [1]USER administrator 331(IP地址为127.0.0.1用户名为administrator试图登录)

0324 127.0.0.1 [1]PASS – 230(登录成功)

0321 127.0.0.1 [1]MKD nt 550(新建目录失败)

0325 127.0.0.1 [1]QUIT – 550(退出FTP程序)

从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知这个IP至少有入侵企图!而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用 Administrator用户名进入的,那么就要考虑此用户名是不是密码失窃?还是被别人利用?接下来就要想想系统出什么问题了。

WWW日志分析

WWW服务同FTP服务一样,产生的日志也是在%systemroot%sys tem32LogFilesW3SVC1目录下,默认是每天一个日志文件。这里需要特别说明一下,因为Web的日志和其他日志不同,它的分析要细致得多,需要管理员有丰富的入侵、防护知识,并且要足够的细心,不然,很容易遗漏那种很简单的日志,而通常这样的日志又是非常关键的。由于我们不可能一个一个分析,所以这里举个简单例子:

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20040419 03:091

上一页  1 2 3 4 5  下一页

Tags:如何 利用 日志

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接