为了抵挡Internet网络病毒的疯狂袭击,许多网络管理员想出了各种办法来加强网络安全控制;不过其中的很多办法不是需要外力工具的帮忙,就是需要网络管理员熟悉服务器系统的各种安全设置,这对接触网络管理工作不久的“菜鸟”级管理员来说,不但显得有点麻烦,而且也有点高深。事实上,任何一台服务器系统在默认状态下会自动启用日志功能,来将访问服务器系统的任何行为捕捉、记录下来,网络管理员只要巧妙地学会使用日志,同样也能够实现加强网络安全控制的目的!
一、实地分析,寻找安全隐患
某单位的IIS服务器在深夜时分遭受到黑客的非法攻击,当天值班的网络管理员小王发现IIS服务器不能正常工作后,立即电话联系了经验丰富的前辈级网络安全工程师老张。早上上班后,老张火速赶到IIS 服务器现场,没有多长时间,老张就将攻击IIS服务器的非法攻击着找了出来,并且一并发现了IIS服务器系统中的其他安全隐患。事实上,老张之所以能这么快寻找到IIS服务器系统中的安全隐患,主要就是因为他巧妙地利用了服务器系统自带的日志功能。
一般来说,非法攻击者企图攻击目标IIS服务器系统时,往往会花费一番心思来收集目标IIS服务器系统的各种信息,通过一些专业级别的扫描工具,来扫描目标IIS服务器系统此时此刻是否存在安全漏洞;而目标IIS服务器系统的日志功能在默认状态下,能够自动记忆下各种访问过本地系统的行为,并将这些记忆下来的内容存储到指定的日志文件中,这个日志文件中包含的内容往往有被扫描的服务器端口号码、访问用户名、客户端的IP地址等;仔细分析这些内容,我们往往就能大概判断出本地IIS服务器系统有没有安全隐患存在。
在查看本地系统的日志文件时,我们可以先依次单击“开始”/“设置”/“控制面板”命令,然后用鼠标双击系统控制面板窗口中的“管理工具”图标,在弹出的管理工具窗口中再双击“事件查看器”选项,进入本地系统的事件查看器窗口(如下图所示)。
在上图界面的左侧子窗格中,我们会看到日志文件主要包含安全日志、系统日志、应用程序日志这几种类型。用鼠标点选某一种类型的日志文件,在对应该文件的右侧子窗格中,我们就能看到所有日志记录的列
表了,用鼠标双击某一个日志记录,在其后弹出的属性设置对话框中我们就能看到具体的记录内容了,根据记录内容我们就能直观地了解到服务器系统在什么时间发生了什么事情。
对IIS服务器系统的各种日志文件进行分析,我们就能看到各种审核事件的记录,这些内容记录了所有访问者在IIS服务器系统中的各种活动,通过对各种活动行为的分析,我们就能很轻易地找到本地IIS服务器系统究竟存在哪些安全隐患了。
不过,一些黑客在攻击了目标IIS服务器系统之后,往往会千方百计地想办法清空IIS服务器系统中各种类型的日志文件,以便将它们攻击IIS服务器系统时遗留下来的痕迹全部清除干净,那样一来网络管理员就无法从系统的各个日志文件中,快速寻找到IIS服务器系统的各种安全隐患了。所以,有效地保护好IIS服务器系统的日志文件,对追查系统的安全隐患以及寻找非法攻击者具有很大的帮助。
如果遇到服务器系统日志文件被删除的情况时,我们可以使用专业的数据恢复工具来尝试还原数据信息和日志文件;因为删除日志文件往往是非法攻击者在IIS服务器系统中进行的最后一项操作,一般来说他们在删除完日志文件后不会在服务器系统中进行其他的操作了,所以在遇到日志文件被非法删除的现象时,我们千万不能向服务器系统执行任何添加删除操作,以便确保专业工具能够成功地将已经删除了的日志文件恢复成功。
另外,要是IIS服务器系统工作的时间比较长,目标网站站点的访问流量比较大时,那么服务器自动生成的日志文件可能就比较大,此时再按照上面的方法来分析系统的各种日志文件时,就显得十分麻烦,而且也不容易分析准确。为此,在这种情况下,我们需要借助专业的日志分析工具来帮忙,当然也可以使用Windows系统自带的“find”功能命令来帮忙。
当然有的时候,单纯依靠IIS服务器系统日志文件,我们并不能明确找到某些安全隐患,这个时候还可以尝试借用其他软件的一些日志记录,来进行进一步安全筛查操作。例如,在IIS服务器系统的日志文件中一旦发现有可疑的事件或对象时,我们应该将它们发生的具体时间记录下来,并且在所有日志种类中筛选出指定时间内记录下来的所有记录,然后综合分析一下防火墙程序的日志文件或Serv-U程序的日志文件,如此一来我们就能轻易找到具体的安全隐患了。
二、远程追踪,揪出非法黑客
笔者下午上班后,象往常一样检查了一下单位文件服务器的运行状态,在检查过程中笔者发现文件服务器中的一些重要数据被非法黑客窃取了;为了防止非法黑客继续攻击单位的文件服务器,笔者立即联系了远在外地学习的网络管理员小王,请求他想办法解决这一安全麻烦。
网络管理员小王建议先仔细查看一下文件服务器的日志,无奈笔者并不能从日志文件中看出什么名堂;经过一番协商,网络管理员小王准备尝试使用远程管理的方法来查看文件服务器的日志文件,经过他的远程追踪,终于将非法黑客揪了出来。现在,本文就将网络管理员小王远程查看日志文件的具体过程还原出来,供各位朋友们参考!
要想通过远程管理方法来远程查看服务器系统中的日志文件,我们需要先在服务器系统中安装启用好远程管理功能组件,该功能组件在默认状态下并没有被安装。在安装远程管理功能组件时,我们可以按照如下步骤来操作:
首先以系统管理员权限登录进入服务器系统,在该系统桌面中依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“添加或删除程序”图标,在其后出现的窗口中单击“添加/删除Windows 组件”标签,打开Windows组件向导对话框(如下图所示);
其次选中该向导对话框中的“应用程序服务器”选项,同时单击该选项下面的“详细信息”按钮,在其后弹出的设置对话框中,看看“Internet信息服务(IIS)”项目有没有被选中,如果发现该选项还没有被选中时,我们应该及时将它重新选中(如下图所示),然后再单击“详细信息”按钮,同时将其后界面中的“万维网服务选项”选中;
紧接着再单击“万维网服务选项”项目下面的“详细信息”按钮,打开万维网服务列表窗口,选中其中的“远程
