返回
如何保护日志服务器安全?

如何保护日志服务器安全?

ID:20757523

大小:51.00 KB

页数:3页

时间:2018-10-15

如何保护日志服务器安全?_第1页
如何保护日志服务器安全?_第2页
如何保护日志服务器安全?_第3页
资源描述:

《如何保护日志服务器安全?》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、如何保护日志服务器安全?  SFTPSVC1  (5).日志默认位置:C:32LogfilesW3SVC1    2、非法清除日志  上述这些日志在服务器正常运行的时候是不能被删除的,FTP和日志的删除可以先把这2个服务停止掉,然后再删除日志文件,攻击者一般不会这么做的。系统和应用程序的日志是由守护服务EventLog支持的,而它是没有办法停止的,因而是不能直接删除日志文件的。攻击者在拿下Web服务器后,一般会采用工具进行日志的清除,其使用的工具主要是CL和CleanIISLog。  (1).利用CL彻底清除日志  这个工具可以彻底清除IIS日志、FTP日志、

2、计划任务日志、系统日志、安全日志等,使用的操作非常简单。  在命令下输入cl-logfiles127.0.0.1就可以清除Web服务器与Web和FTP和计划任务相关的日志。其原理就是先把FTP、、TaskScheduler服务停止再删除日志,然后再启动三个服务。(图2)    该工具还可以选择性地清除相应的日志,比如输入cl-eventlogAll就会清除Web服务器中与系统相关的日志。另外,此工具支持远程清理,这是攻击者经常采用的方法。首先他们通过命令useipipc$密码/user:用户名在本地和服务器建立了管理员权限的IPC管理连接,然后用CL-LogF

3、ileIP命令远程清理服务日志。(图3)    (2).利用CleanIISLog选择性地清理IIS日志  比如攻击者通过Web注入方式拿下服务器,这样他的入侵痕迹(IP地址)都留在了IIS日志里。他们利用该工具只把其在IIS日志中的IP地址进行清除,这样就不会让对方管理员起疑心。  在命令中执行CleanIISLog.IP就可以清除IIS日志中有关该IP的连接记录同时保留其它IP记录。如果管理做了防范,比如更改了IIS日志的路径,攻击者在确定了日志的路径后,也可以通过该工具进行清除,其操作是,在命令行下执行CleanIISLogIIS日志路径IP地址来清除指

4、定IIS路径的IP记录。(图4)    二、打造日志服务器保护日志  通过上面的演示可以看到,如果将服务器的日志保存在本地是非常不安全的。而且,如果企业中的服务器非常多的话,查看日志会非常麻烦。基于以上考虑,打造专门的日志服务器,即有利于服务器日志的备份又有利用于集中管理。  笔者的做法是,搭建一个FTP服务器用来日志的集中和备份,可以在服务器中通过专门的工具或者计划任务来实现日志的自动上传备份。这部分内容比较简单,笔者就不演示了。其实不仅可以将服务器日志备份到专门的日志服务器上,日志服务器还可以实现网络设备的日志备份。  以路由器为例,首先在其上进行设置,指

5、定记录日志的服务器,最后通过FTP协议将日志数据传输到FTP服务器上。搭建FTP服务器可以利用IIS的FTP或者Serv-u,但是笔者觉得IIS的FTP在权限分配上不够方便,而Serv-u有漏洞太多,因此推荐TYPSoftFTP。  1、架设日志服务器  TYPSoftFTP是绿色软件,下载解压后双击ftpserv.exe文件,启动typsoftfip主程序。启动后,点击主界面菜单中的设定→用户,建立新账户log。接着在用户界面中设置log账号所对应的用户密码和日志保存的目录,最后点击保存按钮使设置生效,这样日志服务器就架好了。(图5)  12下一页

6、....,。  2、日志服务器的指定  当搭建好日志服务器后,只需要到相应的网络设置中通过SYSLOG或LOG命令指定要保存日志的服务器地址即可,同时加上设置好的账户名和密码即可完成传输配置工作。下面笔者就以Cisco6509设备上配置及指定日志服务器为例。  正常登录到设备上然后在全局配置模式下输入logging192.168.1.10,它的意思是在路由器上指定日志服务器地址为192.168.1.10。接着输入loggingtrap,它的意思是设置日志服务器接收内容,并启动日志记录。trap后面可以接参数0到7,不同级别对应不同的情况,可以根据实际情况进行选

7、择。如果直接使用loggingtrap进行记录的话是记录全部日志。配置完毕后路由交换设备可以发送日志信息,这样在第一时间就能发现问题并解决。日志服务器的IP地址,只要是能在路由交换设备上ping通日志服务器的IP即可,不一定要局限在同一网段内。因为FTP属于TCP/IP协议,它是可以跨越网段的。(图6)    总结:本文从攻击者的角度解析对Web日志的删除和修改,目的是让大家重视服务器日志的保护。另外,搭建专门的日志服务器不仅可以实现对日志的备份,同时也更利用对日志的集中管理。进一步挖掘日志的服务器的潜能,实现对网络设备相关日志的保存。上一页12....,。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。