如何利用日志分析抵制外部入侵

核心提示： 0318 127.0.0.1 [1]PASS – 530（登录失败） 032:04 127.0.0.1 [1]USER nt 331（IP地址为127.0.0.1用户名为nt的用户试图登录） 032:06 127.0.0.1 [1]PASS – 530（登录失败）

0318 127.0.0.1 [1]PASS – 530（登录失败）

032:04 127.0.0.1 [1]USER nt 331（IP地址为127.0.0.1用户名为nt的用户试图登录）

032:06 127.0.0.1 [1]PASS – 530（登录失败）

032:09 127.0.0.1 [1]USER cyz 331（IP地址为127.0.0.1用户名为cyz的用户试图登录）

0322 127.0.0.1 [1]PASS – 530（登录失败）

0322 127.0.0.1 [1]USER administrator 331（IP地址为127.0.0.1用户名为administrator试图登录）

0324 127.0.0.1 [1]PASS – 230（登录成功）

0321 127.0.0.1 [1]MKD nt 550（新建目录失败）

0325 127.0.0.1 [1]QUIT – 550（退出FTP程序）

从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知这个IP至少有入侵企图！而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用 Administrator用户名进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系统出什么问题了。

WWW日志分析

WWW服务同FTP服务一样，产生的日志也是在%systemroot%sys tem32LogFilesW3SVC1目录下，默认是每天一个日志文件。这里需要特别说明一下，因为Web的日志和其他日志不同，它的分析要细致得多，需要管理员有丰富的入侵、防护知识，并且要足够的细心，不然，很容易遗漏那种很简单的日志，而通常这样的日志又是非常关键的。由于我们不可能一个一个分析，所以这里举个简单例子：

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20040419 03:091