日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
创新互联建站专注为客户提供全方位的互联网综合服务,包含不限于成都网站设计、成都做网站、牟定网络推广、微信小程序定制开发、牟定网络营销、牟定企业策划、牟定品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们最大的嘉奖;创新互联建站为所有大学生创业者提供牟定建站搭建服务,24小时服务热线:18980820575,官方网址:www.cdcxhl.com
1.修改IIS服务器日志的存放路径
默认情况下,IIS服务器的日志存放在%Windir%System32LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。如图11-39所示。
2.修改日志访问权限,设置只有管理员才能访问。如图11-40所示。
如果要做虚拟主机服务,请选择一个好的虚拟主机管理系统(像郑州景安网络),能够对IIS服务器站点管理权限进行方便的设置和对各个IIS服务器站点进行实时监控,还能还原到你所指定时间点时的网站程序。通过以上的这些安全设置,相信你的Web服务器安全性会得到较大改善。
Web日志记录了web服务器接收处理请求,以及其运行时的错误等各种原始信息。通过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误、了解客户访问分布等,方便管理员更好地加强服务器的维护和管理。另外,Web日志也是判断服务器安全的一个重要依据,通过其可以分析判断服务器是否被入侵,并通过其可以对攻击者进行反向跟踪等。因此,对于Web日志攻击者往往以除之而后快。
一、攻击者清除日志的常用伎俩 1、Web服务器系统中的日志 以WindowsServer 2003平台的Web服务器为例,其日志包括:安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看,WWW日志和FTP日志以log文件的形式存放在硬盘中。具体来说这些日志对应的目录和文件为: (1).安全日志文件:C:WINDOWSsystem32configSecEvent.Evt (2).系统日志文件:C:WINDOWSsystem32configSysEvent.Evt (3).应用程序日志文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日志默认位置:C:WINDOWSsystem32LogfilesMSFTPSVC1 (5).WWW日志默认位置:C:WINDOWSsystem32LogfilesW3SVC12、非法清除日志 上述这些日志在服务器正常运行的时候是不能被删除的,FTP和WWW日志的删除可以先把这2个服务停止掉,然后再删除日志文件,攻击者一般不会这么做的。系统和应用程序的日志是由守护服务Event Log支持的,而它是没有办法停止的,因而是不能直接删除日志文件的。攻击者在拿下Web服务器后,一般会采用工具进行日志的清除,其使用的工具主要是CL和CleanIISLog。 (1).利用CL彻底清除日志 这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等,使用的操作非常简单。 在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志,然后再启动三个服务。(图2)celialin 该工具还可以选择性地清除相应的日志,比如输入“cl -eventlog All”就会清除Web服务器中与系统相关的日志。另外,此工具支持远程清理,这是攻击者经常采用的方法。首先他们通过命令“netuse ipipc$ 密码/user:用户名”在本地和服务器建立了管理员权限的IPC管理连接,然后用“CL -LogFile IP”命令远程清理服务日志。(图3)
(2).利用CleanIISLog选择性地清理IIS日志 比如攻击者通过Web注入方式拿下服务器,这样他的入侵痕迹(IP地址)都留在了IIS日志里。他们利用该工具只把其在IIS日志中的IP地址进行清除,这样就不会让对方管理员起疑心。 在命令中执行“CleanIISLog . IP”就可以清除IIS日志中有关该IP的连接记录同时保留其它IP记录。如果管理做了防范,比如更改了IIS日志的路径,攻击者在确定了日志的路径后,也可以通过该工具进行清除,其操作是,在命令行下执行“CleanIISLog IIS日志路径 IP地址”来清除指定IIS路径的IP记录。(图4)二、打造日志服务器保护日志 通过上面的演示可以看到,如果将服务器的日志保存在本地是非常不安全的。而且,如果企业中的服务器非常多的话,查看日志会非常麻烦。基于以上考虑,打造专门的日志服务器,即有利于服务器日志的备份又有利用于集中管理。 笔者的做法是,搭建一个FTP服务器用来日志的集中和备份,可以在服务器中通过专门的工具或者计划任务来实现日志的自动上传备份。这部分内容比较简单,笔者就不演示了。其实不仅可以将服务器日志备份到专门的日志服务器上,日志服务器还可以实现网络设备的日志备份。 以路由器为例,首先在其上进行设置,指定记录日志的服务器,最后通过FTP协议将日志数据传输到FTP服务器上。搭建FTP服务器可以利用IIS的FTP或者Serv-u,但是笔者觉得IIS的FTP在权限分配上不够方便,而Serv-u有漏洞太多,因此推荐TYPSoft FTP。 1、架设日志服务器 TYPSoft FTP是绿色软件,下载解压后双击ftpserv.exe文件,启动typsoft fip主程序。启动后,点击主界面菜单中的“设定→用户”,建立新账户log。接着在用户界面中设置log账号所对应的用户密码和日志保存的目录,最后点击“保存”按钮使设置生效,这样日志服务器就架好了。(图5)2、日志服务器的指定 当搭建好日志服务器后,只需要到相应的网络设置中通过SYSLOG或LOG命令指定要保存日志的服务器地址即可,同时加上设置好的账户名和密码即可完成传输配置工作。下面笔者就以Cisco6509设备上配置及指定日志服务器为例。 正常登录到设备上然后在全局配置模式下输入logging 192.168.1.10,它的意思是在路由器上指定日志服务器地址为192.168.1.10。接着输入logging trap,它的意思是设置日志服务器接收内容,并启动日志记录。trap后面可以接参数0到7,不同级别对应不同的情况,可以根据实际情况进行选择。如果直接使用logging trap进行记录的话是记录全部日志。配置完毕后路由交换设备可以发送日志信息,这样在第一时间就能发现问题并解决。日志服务器的IP地址,只要是能在路由交换设备上ping通日志服务器的IP即可,不一定要局限在同一网段内。因为FTP属于TCP/IP协议,它是可以跨越网段的。(图6) 总结:本文从攻击者的角度解析对Web日志的删除和修改,目的是让大家重视服务器日志的保护。另外,搭建专门的日志服务器不仅可以实现对日志的备份,同时也更利用对日志的集中管理。
1、及时更新最新最全补丁:即使服务器没有连接到互联网,仍然要保证软件系统的更新,你可以通过网络上的另一个服务器运行服务器更新策略服务来完成。如果服务器不联网不实际的话,那么应该确保更新设置为自动下载并应用补丁。
2、定时检查工作:定时检查服务器的网络连接状况、定时检查服务器操作系统运行状况、定时检查服务器系统日志、定时检查磁盘剩余空间已确保有充足的空间存储数据。
3、磁盘阵列:就是把2个或2个以上的物理硬盘组合成1个逻辑硬盘,极大的提高了数据的稳定性和传输速度。同时安全性也有了非常高的保障。服务器硬盘的发展目前已达到每秒10000转左右,在运行当中,一点细小的故障都有可能造成硬盘物理损坏,所以一般服务器都采用Raid磁盘阵列存储,加强服务器硬盘的容错功能。其中任意一个硬盘发生故障时,仍可读出数据。
4、除了做磁盘阵列外,对于一些十分重要的数据要实时进行备份,利用专业备份软件,定期定时做相对完善的备份方案。
5、数据备份记录也好做好,以便恢复时使用。记录里面应包含:备份时间点、备份保存、备份方法、备份工具、操作人员、备份完成时间、备份检测、备份开始时间。
6、删除不必要的软件:在你服务器上的那些肯定不需要的软件如Flash、Silverlight、Java.安装这些软件只会给黑客增加攻击的机会。你可以从服务器中删除没用的软件应用
1、系统漏洞的修复
安装好的系统都会有系统漏洞需要进行补丁,一些高危漏洞是需要我们及时补丁的, 否则黑客容易利用漏洞进行服务器攻击。
2、系统账号优化
我们服务器的密码需要使用强口令,同时有一些来宾账户例如guest一定要禁用掉。
3、目录权限优化
对于不需要执行与写入权限的服务器我们要进行权限修改,确保不把不该出现的的权限暴露给攻击者让攻击者有机可趁。
例如我们的windows文件夹权限,我们给的就应该尽可能的少,对于用户配置信息文件夹,不要给予everyone权限。
4、数据库优化
针对数据密码和数据库端口访问都要进行优化,不要将数据库暴露在公网访问环境。
5、系统服务优化
去除一些不必要的系统服务,可以优化我们系统性能,同时优化系统服务可以提升系统安全性。
6、注册表优化
注册表优化可以提升网络并发能力,去除不必要的端口,帮助抵御snmp攻击,优化网络,是我们优化服务器不可缺少的环节。
7、扫描垃圾文件
垃圾文件冗余可能会造成我们的服务器卡顿,硬盘空间不足,需要我们定期进行清理。
