<div class="modbox">
9 b0 L0 P6 ^( ?9 k o: u" \<div class="tit">因为近期有服务器被入侵 日志居然没有记录到入侵的那条入侵的IP 奇怪了 一般情况下 一个都跑不掉的 会记录IP地址 主机名 登陆的时间及用户名</div>4 Z7 ]' A3 n7 |1 i5 }1 b% v) E0 K3 F' V
<div class="tit"> </div>
1 k( [ }! V9 Q6 k8 D, Q<div class="tit"> </div>
0 y3 W% x: n1 O: Z<div class="cnt">
. {% s% M( q$ }! y<p><font color="#000000"> 单独将终端服务(Terminal Service)的日志监控分列出来是有原因的,微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议(RDP)的工具,它的速度非常快,也很稳定,可以成为一个很好的远程管理软件,但是因为这个软件功能强大而且只受到密码的保护,所以也非常的危险,一旦入侵者拥有了管理员密码,就能够象本机一样操作远程服务器(不需要高深的NT命令行技巧,不需要编写特殊的脚本和程序,只要会用鼠标就能进行一切系统管理操作,实在是太方便、也实在是太可怕了)。虽然很多人都在使用终端服务来进行远程管理,但是,并不是人人都知道如何对终端服务进行审核,大多数的终端服务器上并没有打开终端登录的日志,其实打开日志审核是很容易的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击"连接",右击你想配置的RDP服务(比如 RDP-TCP(Microsoft RDP 5.0),选中书签"权限",点击左下角的"高级",看见上面那个"审核"了么?我们来加入一个Everyone组,这代表所有的用户,然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败就足够了,审核太多了反而不好,这个审核是记录在安全日志中的,可以从"管理工具"->"日志查看器"中查看。现在什么人什么时候登录我都一清二楚了,可是美中不足的是:这个破烂玩艺居然不记录客户端的IP(只能查看在线用户的IP),而是华而不实的记录什么机器名,倒!要是别人起个PIG的机器名你只好受他的嘲弄了,不知道微软是怎么想的,看来还是不能完全依赖微软呀,我们自己来吧?写个程序,一切搞定,你会C么?不会?VB呢?也不会?Delphi?……什么?你什么编程语言都不会?我倒,毕竟系统管理员不是程序员呀,别急别急,我给你想办法,我们来建立一个bat文件,叫做TSLog.bat,这个文件用来记录登录者的IP,内容如下: </font></p>
0 d2 j4 j0 g0 R" u* M7 n<p><font color="#000000">time /t >>TSLog.log <br/>netstat -n -p tcp | find ":3389">>TSLog.log <br/>start Explorer </font></p>
8 \7 X, y1 }. i2 ]<p><font color="#000000"> 我来解释一下这个文件的含义: </font></p>
9 }! t5 @5 ]& L% V$ n' b- k<p><font color="#000000"> 第一行是记录用户登录的时间,time /t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号">>"把这个时间记入TSLog.log作为日志的时间字段; </font></p>0 |4 C9 |5 F+ o) Q/ n6 w
<p><font color="#000000"> 第二行是记录用户的IP地址,netstat是用来显示当前网络连接状况的命令,-n表示显示IP和端口而不是域名、协议,-ptcp是只显示tcp协议,然后我们用管道符号"|"把这个命令的结果输出给find命令,从输出结果中查找包含":3389"的行(这就是我们要的客户的IP所在的行,如果你更改了终端服务的端口,这个数值也要作相应的更改),最后我们同样把这个结果重定向到日志文件TSLog.log中去,于是在SLog.log文件中,记录格式如下: </font></p>
, F% g3 p6 q! @5 G0 u<p><font color="#000000">22:40 <br/>TCP 192.168.12.28:3389 192.168.10.123:4903 ESTABLISHED <br/>22:54 <br/>TCP 192.168.12.28:3389 192.168.12.29:1039 ESTABLISHED </font></p>
# h6 R3 L6 z+ L& d! m<p><font color="#000000"> 也就是说只要这个TSLog.bat文件一运行,所有连在3389端口上的IP都会被记录,那么如何让这个批处理文件自动运行呢?我们知道,终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本(相当于shell环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动Explorer的命令startExplorer,如果不加这一行命令,用户是没有办法进入桌面的!当然,如果你只需要给用户特定的Shell: </font></p>) a; K9 c* k/ N. V
<p><font color="#000000"> 例如cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法,作为系统管理员,你完全可以自由发挥你的想象力、自由利用自己的资源,例如写一个脚本把每个登录用户的IP发送到自己的信箱对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限,所以他不会知道你对登录进行了IP审核,只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了,不过需要注意的是这只是一个简单的终端服务日志策略,并没有太多的安全保障措施和权限机制,如果服务器有更高的安全要求,那还是需要通过编程或购买入侵监测软件来完成的。 </font></p>1 H0 u, _* t" s. ?7 c) D# e
<p></p>
# {: I+ j$ B0 @+ T# O, l<p><font color="#000000">----------------------------------------------------------------- </font></p>
9 T% R8 }8 N* O% S2 }3 p* g i<p><br/><font color="#000000"><strong>[转帖]谈终端方式登录的日志记录</strong> <br/>.abu. </font></p>5 `! e$ C) G9 J0 P' X% i0 k
<p><font color="#000000"> </font></p>7 n( u/ D# j' H5 n" U
<p><font color="#000000"> 最近看到一篇文章《分析进入Win2000后留下的足迹》,这文章里的关于纪录终端服务登录服务器日志纪录的问题引发了几个朋友的讨论,究竟能不能纪录日志?何种情况下才能纪录日志? </font></p>
1 o# S3 M# a3 U2 h<p><font color="#000000"> 顺手做了以下测试 </font></p> u H& E, M5 r, \$ [' h
<p><font color="#000000"> 这里先交待一下: </font></p>
4 y$ v& \8 Z* z! p. y7 P<p><font color="#000000"> 我的服务器名:ABUSERVER </font></p>
1 ]: a! N/ X5 S2 ^, m' s<p><font color="#000000"> 我自己客户机名:ABUPC13 </font></p>
& e$ l: Z8 j7 r5 d/ v<p><font color="#000000"> 我自己客户机的IP:192.168.0.13 </font></p>2 b9 U. N3 P$ [5 f1 ?) P
<p><font color="#000000"> 我登录所用的帐号:Administrator </font></p>, K. w9 |/ S7 q- b6 S. I9 L4 E
<p><font color="#000000"> 本地安全策略里面开启:审核登录事件 </font></p>
* O2 Y+ r! s% _2 h/ H<p><font color="#000000"> 测试一: </font></p>
& ~ H! U4 C7 [7 C<p><font color="#000000"> 用终端服务的方式登录服务器,并正常注销退出,查看安全审核的日志记录如下: </font></p>
+ |" W' Z; I- C. y4 `7 ~<p><font color="#000000"> 登录成功: <br/> 用户名: Administrator <br/> 域: ABUSERVER </font></p>- a, t9 f& ]" U/ B# W
<p><font color="#000000"> 登录 ID: (0x0,0x1D0B52) <br/> 登录类型: 2 <br/> 登录过程: User32 <br/> 身份验证程序包: Negotiate <br/> 工作站名: ABUSERVER </font></p>
$ @8 z0 ~: M3 B, r' C<p></p>( K q- r0 Q4 `9 E
<p><font color="#000000"> 用户注销: <br/> 用户名: Administrator <br/> 域: ABUSERVER </font></p>' Z, Y5 m. {# S" l
<p><font color="#000000"> 登录 ID: (0x0,0x1D0B52) <br/> 登录类型: 2 </font></p>. l$ S4 R4 [& a8 d2 H; L" {8 H
<p><br/><font color="#000000"> 很奇怪吧,因为并没有看到有自己的IP或者机器名被记录下来。而且在登录时纪录的工作站名: ABUSERVER (这不是服务器的名字嘛) </font></p>0 G( A# u8 m7 _- s9 g
<p><font color="#000000"> </font></p>
; W6 ~9 t/ j+ O<p><font color="#000000"> 测试二: </font></p>
4 {! j/ Y/ s i1 U<p><font color="#000000"> 正常登录上服务器以后,选择断开,临时中断当前会话,然后再次使用客户端连接上服务器,在安全日志里出现了以下记录: </font></p>4 ]: d5 w! j. F9 Y* V
<p><font color="#000000"> 会话从 winstation 中断连接: <br/> 用户名: administrator <br/> 域: ABUSERVER <br/> 登录 ID: (0x0,0x1D0B52) <br/> 会话名称: Unknown <br/> 客户端名: ABUPC13 <br/> 客户端地址: 192.168.0.13 </font></p>$ }" w% [2 G8 p6 ]) T' Y; w6 T& r) Y
<p></p>
/ {; m, K' b$ H; a% S<p><font color="#000000"> 会话被重新连接到 winstation: <br/> 用户名: administrator <br/> 域: ABUSERVER <br/> 登录 ID: (0x0,0x1BE7BA) <br/> 会话名称: RDP-Tcp#7 <br/> 客户端名: ABUPC13 <br/> 客户端地址: 192.168.0.13 </font></p>$ D6 d n* r/ F: d u- z
<p></p>
+ t: j+ B' F$ W% d4 s<p><font color="#000000"> 这次,自己客户机名以及当时的IP都被记录下来了。 </font></p>
d) q8 [2 I' J! Y<p><font color="#000000"> 测试三: </font></p>; l. R8 B* f. F) }+ R) c. k
<p><font color="#000000"> 正常连接服务器,输入错误的密码,再输入到第6次(缺省安全配置情况下)终端服务窗口关闭。重新连接登录后,检查日志出现以下纪录: </font></p>6 r1 F. ~5 @' L/ U: ]* x% G
<p><font color="#000000"> 在系统日志里:来自客户端名 ABUPC13 的远程会话超出了所允许的失败登录最大次数。强行终止了会话。 </font></p>
! W5 ?) |, j% j' T8 n2 ~<p><font color="#000000"> 在安全日志里: </font></p>8 l2 `! R1 q% G
<p><font color="#000000"> 登录失败: <br/> 原因: 用户名未知或密码错误 <br/> 用户名: administrator <br/> 域: ABUSERVER <br/> 登录类型: 2 <br/> 登录过程: User32 <br/> 身份验证程序包: Negotiate <br/> 工作站名: ABUSERVER </font></p>. Z% P- y% {: S
<p></p>0 D2 V$ _- L4 F" g
<p><font color="#000000"> 到这里,我们分析了各种不同环境下登录终端服务器的日志纪录效果。 </font></p># g( |2 T+ D& Y8 Z: O; @2 ^2 b1 p
<p><font color="#000000"> 这样看来,是不是清楚了很多?呵呵 </font></p># _1 Y% O; u4 j* k% G
<p><font color="#000000"> 也许有朋友会奇怪为什么在第一个日志记录中,工作站名也是服务器的名称而不是我用来登录的客户机的名称。 </font></p>
/ K, ]1 p1 m; r- g6 h<p><font color="#000000"> 原因是因为在以终端方式登录的时候,系统实际上是以虚拟桌面、本地登录 的方式进行记录,自然没有对真正用户的纪录咯。 </font></p>; f8 v4 x$ z& n. m# c3 G
<p><font color="#000000"> </font></p>! l9 \7 ?4 s$ z0 W: p- S4 W
<p><font color="#000000"> 所以总结如下: </font></p>. z6 h4 x4 Y8 ~2 `6 S! I
<p><font color="#000000"> 1、当一个用户以终端方式登录服务器的时候,如果正常退出,服务器上的日志中,将不会记录你的IP,机器名。 </font></p>, }% s( R# c2 {( D" L
<p><font color="#000000"> 2、当用户以终端方式登录后又发生了中断,这时候系统才会纪录客户机的IP以及机器名。 </font></p>
. D* ~9 D8 r# r! j9 p/ d+ G6 J<p><font color="#000000"> 3、当密码输入错误导致连接终止时,在系统日志里会留下客户机的机器名信息。 </font></p>
3 A2 A3 z* S# a M ?( p<p><font color="#000000"> </font></p>
- P; R A$ b H& }<p><font color="#000000"> 呵呵,最后我在罗嗦一些关于被纪录下来的IP地址。 </font></p>
! e$ K9 ]: c, n( u<p><font color="#000000"> 系统在纪录终端方式的客户机IP地址的时候,如果你的客户机处于一个局域网中,通过透明网关的方式访问服务器,在服务器上留下的IP也只是你内网的IP地址,看来,单纯依靠微软的日志纪录,还是难免会有疏漏的。 </font></p>
( G* S. v' E% W3 J* k<p><font color="#000000"> 解决的方法,这里就不多说了,可以参考shotgun曾经写过的关于《Win2000 Server入侵监测》一文.</font></p></div></div> |