远程终端日志巧分析

远程终端日志巧分析

攻击者在成功入侵一台Windows 2000 Server主机之后，大都会尝试利用基于远程终端服务来控制主机，这样做不仅直观性强，而且隐蔽性高，不容易被主机的管理员发现。不过，经过管理员一番设置后情况就大不相同了。不信？那我们来测试一下。 　　一、测试条件 　　1.一台开启远程终端的主机：219.12.*.*，登录使用的账号是loveapple，服务器名：ZHONGXIN-5D5700。 　　2.客户机名称为：S-6HSZEDVSXC5DP，IP地址为：219.144.*.*。前提条件准备好了，下面开始做测试。 　　二、在主机上开启登录日志功能 　　依次打开主机的“控制面板→管理工具→计算机管理”，查看日志中的“安全性”，查看是否开启这项功能。如果没有开启的话，3389端口的远程登录事件就不会被记录下来。为了测试的进行，笔者进行了开启，步骤如下： 1.单击“开始→运行”，输入gpedit.msc，打开组策略。 2.依次进入“计算机配置→Windows设置→安全设置→本地策略→审核策略”，找到其中的“审核对象访问”项目。双击打开“本地安全策略设置”面板。 3.将“成功”和“失败”选项都勾选上（图1）。如此操作就开启了事件记录，以后只要是关于登录的事件都会被记录在这里，包括3389端口的登录。 当然这只是简单的记录日志条件的开启，具体的日志审核，发送等操作，请参阅《软件指南》12期的《远程终端日志防范最终招》一文。 三、客户机的各种登录测试 登录情况一： 打开远程终端连接器，输入远程主机的IP、管理员账号loveapple以及口令，成功进入远程主机。然后单击“开始→关机”，然后选择“注销loveapple”方式退出远程主机。再次进入远程主机查看“安全日志”，果然发现了二条成功审核的日志（图2）。双击打开查看，内容如下（图3）： 登录成功： 用户名：loveapple 域：ZHONGXIN-5D5700 登录 ID： (0x0,0xF59A1) 登录类型：2 登录过程：User32 身份验证程序包： Negotiate 工作站名： ZHONGXIN-5D5700 这个日志显然详细的记录了一次3389端口的登录事件，其中包括有：登录时使用的用户名：loveapple，域：ZHONGXIN-5D5700，以及其它一些信息，但是没记录任何IP或计算机名。 测试情况二： 打开远程终端连接器，输入远程主机的IP、管理员账号loveapple以及口令，成功进入远程主机。然后单击“开始→关机”，选择“断开”方式退出远程主机。再查看远程主机，这次记录下的日志如下（图4）： 登录成功： 用户名：loveapple 域： ZHONGXIN-5D5700 登录 ID： (0x0,0xF59A1) 会话名称： RDP-Tcp#5 客户端名:：S-6HSZEDVSXC5DP 客户端地址： 219.144.35.58 这次日志记录下了笔者的登陆IP：219.144.35.58和计算机名：S-6HSZEDVSXC5DP。 测试情况三： 依旧在客户机上打开远程终端连接器，输入远程主机的IP和管理员账号，然后有意输入错误的密码。系统会提示你无法进入。再查看远程主机这次记录下的日志，检查日志会发现多出了两个新日志，其中一个如下（图5）： a.登录失败： 原因：用户名未知或密码错误 用户名： loveapple 域：ZHONGXIN-5D5700 登录类型： 2 登录过程：User32 身份验证程序包： Negotiate 工作站名：ZHONGXIN-5D5700 不过，这个日志记录不了客户机的IP地址和一些敏感信息。 b.但是下个日志就没那么好逃过了，系统日志里面有个新日志显示信息如下：来自客户端名S-6HSZEDVSXC5DP的远程会话超出了所允许的失败登录最大次数，强行终止了会话。 这次就被日志记录下了客户机的机器名：S-6HSZEDVSXC5DP（图6）。管理员发现后，只需要在cmd命令行下输入：ping S-6HSZEDVSXC5DP，就可以得到客户机的电脑的IP地址。 测试情况四： 上面的几种登录情况你都看清楚了吧，好多情况下都有可能暴露你的行踪，也许此时你会天真的想：我走的时候把日志清除干净就可以了。这样真的可以吗？往下看就明白了！进入远程主机，进入“计算机管理”下，在“安全性”日志上单击右键，然后删除掉日志，正常注销退出远程主机（图7）。 再次进入3389远程主机，查看安全日志，里面留有上次的审核日志，内容如下（图8）： 审核日志已经被清除。 主要用户名：SYSTEM 主域：NT AUTHORITY 主登录ID：（0x0,0x3E7） 客户端用户名：loveaaple 客户端域：ZHONGXIN-5D5700 看见了吧，居然连清除日志的工作事件都被记录下来了，虽然没记录下IP地址，但是日志显示的信息让管理员一看就知道有人入侵了主机。文文和上期文章，全面对远程终端日志的开启、审核、发送、分析等进行了详细学习。现在你可放心打开远程终端服务，设置相关的安全措施，不用再怕入侵者利用远程终端服务在你的服务器上肆意妄为，因为它的蛛丝马迹，通过日志总能发现。