服務器日誌如何查看

服務器日誌如何查看

https://www.cnblogs.com/matthew228/p/3620762.html

一、利用Windows自帶的防火牆日誌檢測*** 下面是一條防火牆日誌記錄 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04：表示記錄的日期時間 OPEN：表示打開連接；如果此處爲Close表示關閉連接 TCP：表示使用的協議是Tcp 61.145.129.133：表示本地的IP 64.233.189.104：表示遠程的IP 4959：表示本地的端口 80：表示遠程的端口。注：如果此處的端口爲非80、21等常用端口那你就要注意了。 每一條Open表示的記錄對應的有一條CLOSE記錄，比較兩條記錄可以計算連接的時間。
注意，要使用該項，需要在Windows自帶的防火牆的安全日誌選項中勾選“記錄成功的連接”選項。

二、通過IIS日誌檢測入 侵 攻 擊

1、認識IIS日誌 IIS日誌默認存放在System32\LogFiles目錄下，使用W3C擴展格式。下面我們通過一條日誌記錄來認識它的格式 2005-01-0316:44:57218.17.90.60GET/Default.aspx-80 -218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000
2005-01-0316:44:57：是表示記錄的時間；
218.17.90.60：表示主機的IP地址；
GET：表示獲取網頁的方法 /Default.aspx：表示瀏覽的網頁的名稱，如果此外的內容不是你網站網頁的名稱，那就表示可能有人在用注入 式對你的網站進行測試。如：“/msadc/..蠟..蠟..蠟../winnt/system32/cmd.exe/c+dir”這段格式的 文字出現在瀏覽的網頁後面就表示有者嘗試能否進入到你的系統目錄下。
-80：表示服務器的端口。
-218.17.90.60：表示客戶機的IP地址。如果在某一時間或不同時間都有大量的同一IP對網站的連接那你 就要注意了。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)：表示用戶的瀏覽器的版本 操作系統的版本信息
200:表示瀏覽成功，如果此處爲304表示重定向。如果此處爲404則表示客戶端錯誤未找到網頁,如果服務器沒 有問題但出現大量的404錯誤也表示可能有人在用注入式***對你的網站進行測試。

2、檢測IIS日誌的方法 明白了IIS日誌的格式，就可以去尋找***者的行蹤了。但是人工檢查每一條數據幾乎是不可能的，所以 我們可以利用Windows本身提供了一個命令findstr。下面以尋找05年1月1日日誌中包含CMD字段爲例演示 一下它的用法。IIS日誌路徑已設爲D\w3c Cmd提示符下輸入：findstr"cmd"d\w3c\ex050101.log回車。怎麼同一個IP出現了很多，那你可要注意了！ 下面是我寫的幾個敏感字符，僅供參考，你可以根據自己系統、網頁定製自己的敏感字符，當然如果你根據 這些字符作一個批處理命令就更方便了。 cmd、'、\、..、;、and、webconfig、global、
如果你感覺findstr功能不夠直觀強大，你可以AutoScanIISLogFilesV1.4工具。它使用圖形化界面 一次可以檢測多個文件。下載地址：[url]http://www.11k.net/Software/View-Software-1585.html[/url]

如果你感覺這些IIS日誌中的信息記錄還不夠多，那麼你可以做一個隱藏網頁，凡是登陸到網站上都會先定向到 該網頁，然後你可以在該網頁中添加代碼，獲取用戶的IP、操作系統、計算機名等信息。並將其輸入到數據庫 中，這樣即使一個***者使用動態的IP只要他不換系統，即使刪除了IIS日誌，你也可以把他找出來。

三、通過查看安全日誌檢測是否有成功的 如果你你啓用了登陸事件、策略更改、賬戶登陸、系統事件的成功失敗的審覈，那麼任何成功的都將 在安全日誌中留下痕跡
推薦的作法：

1、建議每天最少檢查一次安全日誌。 推薦重點檢查的ID事件 529：登錄失敗，試圖使用未知用戶名或帶有錯誤密碼的已知用戶名進行登錄。 528：用戶成功登錄到計算機上。 539：登錄失敗：登錄帳號在登錄嘗試時被鎖定。此事件表明有人發動密碼但未成功，因而導致賬戶鎖定
682：用戶重新連接到一個已經斷開連接的終端服務器會話上。終端服務 683：用戶在沒有註銷的情況下與終端服務器會話斷開連接。終端服務
624：一個用戶帳號被創建。 625：更改了用戶賬戶類型 626：啓用了用戶賬戶 629：禁用了用戶賬戶 630：刪除了用戶賬戶 以上5個事件可能是一個者試圖通過禁用或刪除發動時使用的賬戶來掩蓋他們的蹤跡。
577:用戶試圖執行受到權限保護的系統服務操作。 578:在已經處於打開狀態的受保護對象句柄上使用權限。 577、578事件中詳細信息中特權說明 SeTcbPrivilege特權：此事件可以表明一個用戶通過充當操作系統的一部分來試圖提升安全權限，如一個用戶 試圖將其賬戶添加到管理員組就會使用此特權 SeSystemTimePrivilege特權：更改系統時間。此事件可表明有一個用戶嘗試更改系統時間 SeRemoteShutDownPrivilege：從遠程系統強制關閉 SeloadDriverPrivilege：加載或卸載驅動程序 SeSecurityPrivilege：管理審計和安全日誌。在清除事件日誌或向安全日誌寫入有關特權使用的事件是發生 SeShutDownPrivilege：關閉系統 SeTakeOwnershipPrivilege：取得文件或其他對象的所有權.此事件可表明有一個者正在通過取得一個 對象的所有權來嘗試繞過當前的安全設置
517:日誌事件被清除或修改。此事件可以表明一個者企圖通過修改或刪除日誌文件來掩蓋他們的蹤跡 612:更改了審計策略。此事件可以表明一個者企圖通過修改審計策略來掩蓋他們的蹤跡 如爲了掩蓋刪除日誌文件的蹤跡他可能先關閉系統事件的審覈。

2、通過篩選器來查看重要性事件 方法：點擊事件查看器窗口中的查看菜單，點擊篩選，點擊篩選器，定義自己的篩選選項，確定即可。

3、在查看完成之後備份事件 方法：點擊事件查看器窗口中的操作菜單，點擊導出列表，選擇保存路徑和文件名，如果保存類型 選擇了“文本文件（製表符分隔）”，將會保存爲文本文件。如果保存類型 選擇了“文本文件（逗號分隔）”，將會保存爲Excel文件。 當然也可以選擇另存日誌文件。 如果感覺這樣保存麻煩也可以使用微軟的resourceKit工具箱中的dumpel.exe配合計劃任務可以實現 定期備份系統日誌。

4、刪除檢查過的日誌文件，日誌文件越少越容易發現問題。

5、配合系統日誌程序日誌檢測可疑內容

6、使用EventCombMT工具 EventCombMT是一個功能強大的多線程工具，它可同時分析許多服務器中的事件日誌，爲包含在搜索條件中的 每一臺服務器生成一個單獨的執行線程。利用它你可以定義 要搜索的單個事件ID或多個事件ID，用空格分格 定義一個要搜索的事件ID範圍。如:528>ID<540 將搜索限定爲特定的事件日誌。如：只搜索安全日誌 將搜索限定爲特定的事件消息。如：成功審計 將搜索限制爲特定的事件源。 搜索事件說明內的特定文本。 定義特定的時間間隔以便從當前日期和時間向後掃描 注：要使用該工具您需要安裝WindowsServer2003ResourceKitTools.安裝完成後在命令提示符下輸入EventCombMT即可 下載地址：[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=[/url] 9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

四、通過端口檢測**
端口是***者最喜歡的進入的大門,所以我們要養成查看端口的習慣

1、通過netstat命令。

    CMD提示符下 netstat-ano:檢測當前開放的端口，並顯示使用該端口程序的PID。 netstat-n:檢測當前活動的連接 如果通過以上命令發現有不明的端口開放了，不是中了***就是開放新的服務。 處理方法： 打開任務管理器，在查看菜單下選擇列，勾選PID，點擊確定。然後根據開放端口使用的PID在任務管理器中 查找使用該端口的程序文件名。在任務管理器殺掉該進程。 如果任務管理器提示殺不掉，可以使用ntsd命令，格式如下：c:\>ntsd-cq-pPID。 如果使用該PID的進程不是單獨的程序文件而是調用的Svchost或lsass(現在有很多***可以做到這一點)。那麼 需要你有很志業的知識才能查找到。我的經驗是下面的幾種方法配合使用

在服務中查找使用Svchost或lsass的可疑服務。在命令提示符下輸入tasklist/svc可以查看進程相關聯的 PID和服務。 利用Windows優化大師中的進程管理去查找Svchost或lsass中可疑的.dll。 檢查System32下最新文件:在命令提示符sytem32路徑下輸入dir/od 利用hijackthis工具可以查出系統啓動的程序名和dll文件.下載地址：[url]http://www.cl520.net/soft/3992.htm[/url]
發現可疑的dll後如果不知道是否爲病毒文件去Google吧

2、使用ActivePort軟件

     ActivePort軟件安裝後用的是圖形化界面，它可以顯示所有開放的端口，當前活動的端口，並可以將端口、 進程、程序名路徑相關聯。並且可以利用它來中斷某個活動的連接

五、通過進程監控可疑程序 如果發現不正常的進程，及時殺掉，如果在任務管理器中無法殺掉可以去查找可疑的服務，將服務關閉後 再殺，當然也可以在提示符下利用ntsd命令。格式爲：ntsd-cq-pPID

六、利用Svcmon.exe(serviceMonitoringTool)監視已安裝的服務

這個工具可以用來監視本地或者是遠程計算機服務的狀態改變，當它發現一個服務開始或者是停止的時候， 這個工具將會通過發e-mail或者是ExchangeServer來通知你知道。要想使用這個工具需要安裝ResourceKit。
但是去MS的網站[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=[/url] 9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下載的ResourceKit安裝後沒有找到這個工具， 其實還有很多工具這個ResourceKit沒有。可能這是一個簡單的ResourceKit包。後來又安裝了2003 光盤上的SupportTools也沒找到它。我使用了2000的 ResourceKit安裝光盤，安裝後，在2003上一樣可以使用。不過我用了後發現系統會不穩定，所以最好找2003的ResourceKit安裝光盤。 這個工具由兩部分組成，Svcmon.exe在你安裝好ResourceKit後，默認的位於C:\ProgramFiles\ResourceKit 文件夾下，你要將其拷貝到%SystemRoot%\System32下，然後在命令提示符下輸入Smconfig將打開 配置嚮導。是圖形界面，注意在ExchangeRecipients那裏添如你要提醒的用戶的Email。其他的 按照指示做就可以了。 如果發現有不正常的服務可以使用ResourceKit中的Instsrv.exe移除服務 使用格式：instsrvservicenameRemove

七、檢測System32下的系統文件 在安裝好系統後和安裝新的軟件後對System32文件夾做備份，然後用COMP命令定期檢查該文件的內容查找 可疑的文件夾或文件。COMP命令的使用格式爲:命令提示符下 COMPdata1data2/L/C data1指定要比較的第一個文件的位置和名稱。 data2指定要比較的第二個文件的位置和名稱。 /L顯示不同的行數。 /C比較文件時不分ASCII字母的大小寫。 注：MS的WinDiff工具可以圖形化比較兩個文件

八、利用Drivers.exe來監視已安裝的驅動程序 現在有的者將添加到驅動程序中，我們可以通過MS提供的Drivers工具來進行檢測。 在運行此工具的計算機上，此工具會顯示安裝的所有設備驅動程序。該工具的輸出包括一些信息，其中 有驅動程序的文件名、磁盤上驅動程序的大小，以及鏈接該驅動程序的日期。鏈接日期可識別任何新安 裝的驅動程序。如果某個更新的驅動程序不是最近安裝的，可能表示這是一個被替換的驅動程序。 注：Drivers.exe工具在MS的的網站下載的WindowsServer2003ResourceKitTools中也沒有這個工具 我是使用的2000的。
九、檢查本地用戶和組 這個想來不用說太多，大家都知道的了，需要注意的一點是，如果使用命令行的netuser來查看，將無法查看 到隱藏的用戶（即用戶名後加了$的），所以最好使用管理單元來查看所有用戶。
十、檢查網頁文件，特別是有與數據庫連接的文件的日期，現在有的者後會在網頁代碼中留下後門， 所以如果日期發了變化，那就要注意查看了。
十一、附Server2003EnterpriseEdition安裝IIS和SQL2000後默認啓動的服務、進程、端口 1、已啓動的服務 AutomaticUpdate、COM+EventSystem、ComputerBrowser、CryptographicServices、DHCPClient、 DistributedfileSystem、DistributedlinkTracking、Distributedtransaction、DNSClient、 ErrorReporting、Eventlog、HelpAndSupports、IPSECServices、LogicalDiskManager、 NetworkLocation、plugandplay、PrintSpooler、RemoteProcedureCall、RemoteRegistry、 SecondaryLogon、SecurityAccounts、Server、SystemEventNetification、TaskScheduler、 TCP/IPNetBIOS、TerminalServices、WindowsInstaller、WindowsManagementInstrumentation、 WindowsTime、WirelessConfig、Workstation。
以下爲安裝IIS（只有WEB服務）後新加的啓動的服務 AddService、Com+systemapplication、HttpSSL、IISAdminService、 networkconnections、protectedstorage、shellhardware、wordwideweb。
以下爲安裝SQL2000後新增加的已啓動的服務 MicrosoftSearch、NTLMSecurity、MSSQLServer
2、已啓動的進程 ctfmon:admin、wpabaln:admin、explorer:admin、wmiprvse、dfssvc、msdtc:networkservice、 sploolsv、lsass、conime:admin、services、
svchost:7個其中localservice2個、networkservice1個、winlogon、csrss、smss、
system、systemidleprocess。共計：22個進程，其中admin、networkservice、localservice表示用戶名 未註明的爲System用戶
以下爲安裝IIS後新增加的進程 wpabaln:admin、inetinfo、
以下爲安裝SQL後新增加的進程 mssearch、sqlmangr、wowexecadmin、sqlservr
3、已開啓的端口 TCP:135、445、1025、1026、139 udp：445、500、1027、4500、123
以下爲安裝IIS後新增加的端口 tcp:80、8759注意8759這個端口是第一次安裝後自動選擇的一個端口，所以每臺機會不同
以下爲安裝SQL後新增加的端口
tcp:1433 udp:68、1434
如果啓用防火牆後將開啓以下端口 TCP：3001、3002、3003 UDP：3004、3005