《教學》由安全記錄查詢駭客的蹤跡與防範
如何判斷安全記錄是否被駭客刪除?
如何防止安全記錄被駭客刪除或修改?
工作排程記錄
如果駭客或病毒利用遠端執行命令 at 來執行我們電腦中的程式,則可以在工作排程記錄檔案中查看出來,這是由工作排程器 (Scheduler) 所產生的記錄檔案,它預設是存放在 Windows 系統所在資料夾中 (例如 C:\Winnt),名稱為 schedlgu.txt (Win2K 與 WinXP) 或 SchedLog.txt (WinNT),可以使用記事本將它打開查看 ,不過若您的電腦沒有打開工作排程服務 (Task Scheduler Service) 就不必查看。
注意事項
在前面的工作排程記錄中您可以看出執行了什麼程式 (如:net) ,但卻不一定知道做了什麼 (因為沒有記錄 net 的參數),因此您 只好自己想想看是否在那個時間有設定執行過該程式,如果沒 有就要找出該程式到底做了什麼事,例如:net 命令可能建立新 帳戶、打開某個服務…等,依照該程式能做什麼事繼續向下追!
同樣的,如果駭客或病毒沒有使用遠端執行命令 at,則在這些 記錄中當然也就找不到任何蛛絲馬跡囉!
防火牆記錄的查看與判別
不論是各種系統記錄或是網路軟體 (如:IIS、Apache…) 的記錄,只要駭客或病毒沒有觸碰到與它們相關的那一部分,就不會有任何的記錄,但是如果您有使用防火牆或網路監控程式就比較能讓駭客或病毒無所遁形,畢竟只要透過網路入侵就一定要經過這一關。
由上面的記錄您可以看出,防火牆或網路監控程式的記錄更能幫助您找出各種可能的攻擊與入侵,甚至還告訴您可能是那種病毒與那種攻擊 (依該軟體的設計與資料庫而定),幫助網管人員減少許多判斷與研究的時間,因此使用防火牆 (不論軟硬體) 來保護您的伺服器是非常有必要的。
討論與研究
由安全記錄您可以看出,防火牆或網路監控程式的記錄更能幫助您找出各種可能的攻擊與入侵,甚至還告訴您可能是那種病毒與那種攻擊 (依該軟體的設計與資料庫而定),幫助網管人員減少許多判斷與研究的時間,因此使用防火牆 (不論軟硬體) 來保護您的伺服器是非常有必要的。
如何防止記錄檔案 (Log file) 被修改或刪除
由於伺服器中的各種記錄是判斷與查看駭客入侵或進行那些進行那些行為的重要資料,所以當然要儘可能的防止這些記錄被更改或刪除,在這塈畯戔N提供幾項建議供您參考,希望能幫助您有效的防止駭客修改或刪除。
建議1:經常修補漏洞
要防止駭客更改或刪除記錄檔案的治本方法就是不要讓駭客有機會進入伺服器中,也就是預防重於治療啦! 而要做到這一點除了基本安全防護之外,最重要的就是要經常修補 Windows 系統或網路軟體 (如:IIS、Apache) 的漏洞。
建議2:密碼不要太簡單
利用流光的字典檔可以破解 WinNT、Win2K 或 WinXP 將近 40% 的用戶密碼,最主要的原因是各種登入密碼取得太簡單了,或是根本沒設定密碼 (這實在非常糟糕!)。
建議3:更改預設記錄檔所在資料夾
若萬一不幸被駭客或病毒入侵成功,則避免各種記錄被駭客修改與刪除是最重要的工作,而最有效簡單的方法就是更改記錄檔案存放的資料夾,這塈畯怚H更改 IIS記錄與 Windows 系統、安全、應用程式與工作排程記錄存放的資料夾來舉例說明。
改記錄檔案存放的資料夾並非駭客就無法更改或刪除記錄,而是進行起來比較困難,必須要有足夠的權限與時間然後在伺服器硬碟中逐一尋找才可能找得到,如果連記錄檔案的名稱也更改那找起來就更困難了,當然也就提高了駭客被抓到的機率。
更改 IIS 記錄存放資料夾
對於眾多使用 IIS Web 系統的網管人員可改記錄檔案存放的資料夾。
更改系統、安全、應用程式與工作排程記錄存放資料夾
對於 Windows 的系統、安全、應用程式與工作排程記錄存放的資料夾,則要更改登錄資料 (Registry) 中的機碼才行。
建議4:使用其他監控程式
由於駭客大多數更改或刪除 Windows 系統或 Web Server(如:IIS) 的記錄檔案,並不一定知道您的伺服器是否有安裝防火牆或其他網路監控程式,即使知道有但也不一定知道該軟體的記錄檔案放在那堙A因此若 Windows 或 Web Server (如 :IIS) 的記錄檔案被駭客修改或刪除則還是可以透過防火牆或其他監控軟體的記錄將駭客的 IP 位址或做了那些事都找出來 (當然要依照該防火牆或監控軟體所提供的功能而定)。
建議5:有專人監看
如果實在很擔心駭客入侵或您的伺服器完全不可以讓駭客或病毒有入侵的機會,則全天候 24 小時都有網管人員在隨時監控是最好的防駭方法,只要網管人員一發現任何異狀就可立刻進行處理,完全不讓駭客越雷池一步,不過人事成本當然就提高許多,如何決定就看您自己了。
