項(xiàng)目九跳板與痕跡清除【項(xiàng)目概述】攻擊者攻擊目標(biāo)計(jì)算機(jī)時(shí)，為了避免被追蹤，會(huì)采用各種跳板技術(shù)。跳板的實(shí)現(xiàn)有很多種方式，最簡(jiǎn)單的就是使用代理技術(shù)，早期的代理有HTTP代理和SOCKS代理。如今有更加便于使用的Web在線代理。由于Web在線代理有較大的局限性和安全隱患，VPN技術(shù)也成了很重要的跳板技術(shù)。這些技術(shù)也常被用作翻墻，訪問因?yàn)槟撤N原因而被封鎖的網(wǎng)絡(luò)。除了采用代理、VPN等技術(shù)隱藏攻擊者真正的IP外，攻擊者也常常在入侵成功后清除入侵的痕跡。本項(xiàng)目將介紹常見的代理服務(wù)器的使用、Windows痕跡清除、Linux痕跡清除。【項(xiàng)目分析】當(dāng)攻擊者入侵被攻擊者時(shí)，被攻擊者可以根據(jù)IP地址追蹤攻擊者來自哪里。攻擊者為了隱藏自己真正的IP，通常會(huì)采用跳板，這樣被攻擊者進(jìn)行反向追蹤時(shí)就只能追蹤到攻擊來自跳板。如果攻擊者采用多個(gè)跳板，且跳板分布在不同的國(guó)家，那么被攻擊者就需要依次追蹤每一個(gè)跳板，追蹤將變得非常困難。了解常見的跳板技術(shù)以及攻擊者清除入侵痕跡的技術(shù)，對(duì)于防范網(wǎng)絡(luò)攻擊、追蹤攻擊者具有重要意義。本項(xiàng)目將通過以下內(nèi)容講述跳板與痕跡清除技術(shù)：1.代理服務(wù)器的使用；2.Windows痕跡清除；3.Linux痕跡清除。

項(xiàng)目主要內(nèi)容：

任務(wù)一代理服務(wù)器的使用任務(wù)二Windows痕跡清除任務(wù)三Linux痕跡清除任務(wù)二Windows痕跡清除任務(wù)描述計(jì)算機(jī)上的操作系統(tǒng)和各種應(yīng)用程序通過日志記錄計(jì)算機(jī)上所發(fā)生的事件，便于管理員監(jiān)控計(jì)算機(jī)以及故障排除。這些日志也是跟蹤攻擊者的重要資料。攻擊者為了隱藏自己，經(jīng)常設(shè)法刪除這些日志，清除攻擊痕跡。請(qǐng)查看Windows系統(tǒng)中的日志，測(cè)試進(jìn)行日志痕跡清除，設(shè)置防范Windows痕跡清除策略。任務(wù)分析Windows操作系統(tǒng)都有各種各樣的日志文件，如應(yīng)用程序日志、安全日志、系統(tǒng)日志等，根據(jù)系統(tǒng)開啟的服務(wù)不同而有所不同。用戶在系統(tǒng)上進(jìn)行操作時(shí)，這些日志會(huì)記錄下用戶操作的相關(guān)內(nèi)容，這些內(nèi)容對(duì)于系統(tǒng)安全工作人員十分有用。例如，攻擊者對(duì)系統(tǒng)進(jìn)行了FTP探測(cè)后，便會(huì)在FTP日志中記下IP、時(shí)間、探測(cè)所用的用戶名等。攻擊者清除攻擊痕跡，主要從清除Windows日志著手。攻擊者試圖控制計(jì)算機(jī)的過程中，或者控制了計(jì)算機(jī)后進(jìn)行操作時(shí)，會(huì)在計(jì)算機(jī)上留下痕跡。攻擊者會(huì)想辦法刪除這些記錄，達(dá)到隱藏攻擊行為的目的。在本任務(wù)中，將說明如何查看Windows日志和IIS日志，以及如何清除Windows日志和IIS日志。任務(wù)實(shí)施1.查看Windows日志。步驟1在WindowsServer2008上，選擇“開始”—“管理工具”—“事件查看器”，在事件查看器窗口右側(cè)的列表框中顯示了事件查看器的概述與摘要、管理事件的摘要、最近查看的節(jié)點(diǎn)以及日志摘要等信息，如圖9-11所示。圖9-11事件查看器窗口小貼士：必須以Administrator或Administrators組成員的用戶身份登錄，才能打開、使用安全日志及指定將哪些事件記錄在安全日志中。步驟2在“事件查看器”窗口左側(cè)的列表框中展開“Windows日志”，可以看到有應(yīng)用程序、安全、Setup、系統(tǒng)、轉(zhuǎn)發(fā)事件選項(xiàng)。單擊“應(yīng)用程序”節(jié)點(diǎn)，可以看到應(yīng)用程序中的所有事件的級(jí)別、日期和時(shí)間、來源、事件ID、任務(wù)類別，如圖9-12所示。圖9-12應(yīng)用程序選項(xiàng)相關(guān)的事件知識(shí)鏈接：事件日志包括應(yīng)用程序日志、安全日志和系統(tǒng)日志三種類型：（1）應(yīng)用程序日志包含由程序記錄的事件。例如，數(shù)據(jù)庫(kù)程序可能在應(yīng)用程序日志中記錄文件錯(cuò)誤，寫入應(yīng)用程序日志中的事件是由軟件程序開發(fā)人員確定的。（2）安全日志包含有效和無效的登錄嘗試等事件，以及與資源使用有關(guān)的事件（如創(chuàng)建、打開或刪除文件)。例如，在啟用登錄審核的情況下，每當(dāng)用戶嘗試登錄到計(jì)算機(jī)上時(shí)，都會(huì)在安全日志中記錄一個(gè)事件。（3）系統(tǒng)日志包含Windows系統(tǒng)組件所記錄的事件。如果在啟動(dòng)過程中未能加載某個(gè)驅(qū)動(dòng)程序，就會(huì)在系統(tǒng)日志中記錄一個(gè)事件。Windows需預(yù)先設(shè)置記錄的系統(tǒng)事件。步驟3右擊“應(yīng)用程序”節(jié)點(diǎn)，在彈出的快捷菜單中選擇“篩選當(dāng)前日志”命令，打開“篩選當(dāng)前日志”對(duì)話框，單擊“篩選器”選項(xiàng)卡，如圖9-13所示。圖9-13“篩選當(dāng)前日志”對(duì)話框步驟4在“篩選器”對(duì)話框中，可以根據(jù)事件的級(jí)別選擇顯示的事件，如選擇“警告”，則在應(yīng)用程序事件中只顯示警告事件，如圖9-14所示。圖9-14篩選應(yīng)用程序事件2.在事件查看器中分析事件類型。在事件查看器窗口左側(cè)的列表框中展開“Windows日志”，單擊“系統(tǒng)”選項(xiàng)，右側(cè)的事件列表框中找到類型為“錯(cuò)誤”的事件并雙擊，打開“事件屬性”對(duì)話框，如圖9-15所示。圖9-15“事件屬性”對(duì)話框該事件日志表示：在2019年1月17日18點(diǎn)59分49秒，發(fā)現(xiàn)NetBT服務(wù)的一個(gè)錯(cuò)誤。事件ID為4321,表示在WIN-N7IONR3403主機(jī)在嘗試將IP地址配置為95時(shí)，受到其他計(jì)算機(jī)的阻止。從該事件日志中可以看出，這臺(tái)主機(jī)是DHCP客戶端，由于啟動(dòng)時(shí)沒有找到DHCP服務(wù)器，即DHCP服務(wù)器宕機(jī)或者無法響應(yīng)，該主機(jī)為了能夠通信，自動(dòng)分配了一個(gè)私有IP地址。3.審核策略的設(shè)置。步驟1Windows日志中有什么日志和審核策略有很大關(guān)系，選擇“開始”—“程序”—“管理工具”—“本地安全策略”菜單命令，打開“本地安全設(shè)置”窗口，如圖9-16所示。圖9-16“本地安全設(shè)置”窗口步驟2在圖9-16中，單擊窗口左側(cè)樹狀目錄“安全設(shè)置”—“本地策略”—“審核策略”結(jié)點(diǎn)，在窗口右邊將顯示當(dāng)前的審核策略，如圖9-17所示。圖9-17審核策略窗口步驟3在圖9-17中，雙擊“審核登錄事件”選項(xiàng)，打開“審核登錄事件”屬性對(duì)話框，選中“成功”和“失敗”復(fù)選框，然后單擊“應(yīng)用”、“確定”按鈕，則將對(duì)用戶登錄事件進(jìn)行審核，如圖9-18所示。圖9-18開啟審核登錄事件設(shè)置完成后，一旦用戶登錄計(jì)算機(jī)將產(chǎn)生日志，在事件查看器中就可以看到用戶登錄的日志。采用同樣的步驟，打開對(duì)象訪問的審核，結(jié)果如圖9-19所示。圖9-19打開對(duì)象訪問的審核步驟4創(chuàng)建C:\test.txt文件，然后右鍵單擊文件，選擇“屬性”—“安全”—“高級(jí)”—“審核”—“編輯”—“添加”，將everyone用戶添加到對(duì)象中，然后選中“成功”列，結(jié)果如圖9-20所示。圖9-20添加文檔審核步驟5依次單擊“確定”按鈕，并對(duì)C:\test.txt文件進(jìn)行修改，并保存。然后在“事件查看器”—“Windows日志”—“安全”中便可查看到相關(guān)訪問日志，如圖9-21所示。圖9-21查看訪問事件日志4.IIS日志的查看與設(shè)置。步驟1在WindowsServer2008上通過“服務(wù)器管理器”—“角色”—“添加角色”可以安裝Web服務(wù)器（IIS），架設(shè)Web和FTP服務(wù)器。默認(rèn)情況下，這兩個(gè)服務(wù)器都已經(jīng)開啟了日志功能，如圖9-22所示。圖9-22IIS管理器對(duì)話框步驟2FTP日志和Web日志的默認(rèn)位置為“C:\inetpub\logs\LogFiles\W3SVC1”，日志文件內(nèi)容如圖9-23所示。圖9-23FTP日志和Web日志內(nèi)容在日志中詳細(xì)的記錄了IIS服務(wù)訪問的時(shí)間、IP地址、訪問方式、端口號(hào)、目的IP、瀏覽器版本等。步驟3在另一臺(tái)計(jì)算機(jī)上訪問WindowsServer2008的IIS服務(wù)，如圖9-24所示。然后將WindowsServer2008的IIS服務(wù)重新啟動(dòng)，使得本次訪問由緩存寫入日志中，再查看“C:\inetpub\logs\LogFiles\W3SVC1”目錄，便可發(fā)現(xiàn)本次訪問的日志文件，分別如圖9-25和圖9-26所示。圖9-24訪問IIS服務(wù)圖9-25本次訪問產(chǎn)生的日志（1）圖9-26本次訪問產(chǎn)生的日志（2）步驟4在IIS管理器對(duì)話框可以對(duì)FTP日志和Web日志進(jìn)行重新啟動(dòng)、禁止等，還可雙擊“FTP日志”或“日志”圖標(biāo)，對(duì)日志目錄、編碼、日志文件滾動(dòng)更新進(jìn)行設(shè)置，如圖9-27所示。圖9-27IIS管理器日志屬性設(shè)置5.清除Windows日志。（1）直接清除Windows日志。在事件查看器中，右鍵單擊Windows日志各個(gè)類別，選擇“清除日志”，即可清除相關(guān)日志。（2）使用工具清除Windows日志。黑客進(jìn)行攻擊時(shí)，大多是通過命令行的方式操作控制被攻擊者計(jì)算機(jī)的，圖形界面容易被發(fā)現(xiàn)，且比較難獲得管理員權(quán)限，因此很多時(shí)候無法使用直接清除Windows日志的方法。此時(shí)，可以使用elsave工具進(jìn)行本地或遠(yuǎn)程清除日志。elsave工具命令格式為：elsave[-s\\server][-llog][-Ffile][-C][-q],其中各個(gè)參數(shù)的含義如下：-s\\server：指定遠(yuǎn)程計(jì)算機(jī)。-llog：指定日志類型，其中參數(shù)“application”為應(yīng)用程序日志，參數(shù)“system”為系統(tǒng)日志，參數(shù)“security”為安全日志。-Ffile：指定保存日志文件的路徑。-C：清除日志操作，注意要大寫。-q：把錯(cuò)誤信息寫入日志。

刪除本地計(jì)算機(jī)的“應(yīng)用程序”日志命令如下：elsave-l"application"-C刪除遠(yuǎn)程計(jì)算機(jī)的日志需要事先獲得遠(yuǎn)程計(jì)算機(jī)上的管理員密碼，命令如下：netuse\\34\ipc$123456/user:administrator//以上命令中“123456”是計(jì)算機(jī)192.168.137.134上的用戶“administrator”的密碼elsave.exe-s\\192.168.137.134-l"application"-Celsave.exe-s\\192.168.137.134-l"security"-Celsave.exe-s\\192.168.137.134-l"system"-C步驟1攻擊者通過上傳技術(shù)，將elsave工具上傳到被攻擊者計(jì)算機(jī)C盤中，然后在命令行提示符中即可使用該命令行工具，如圖9-28所示。

圖9-28查看elsave工具的使用步驟2在命令行提示符中使用命令“elsave–l‘a(chǎn)pplication’-C”刪除應(yīng)用程序日志，刪除后結(jié)果如圖9-29所示。圖9-29使用命令刪除應(yīng)用程序日志此外，當(dāng)攻擊者獲得遠(yuǎn)程計(jì)算機(jī)上的管理員用戶名和密碼后，還在攻擊者計(jì)算機(jī)上使用命令“netuse\\34\ipc$123456/user:administrator”遠(yuǎn)程訪問被攻擊者計(jì)算機(jī)，然后使用下列命令遠(yuǎn)程刪除計(jì)算機(jī)的日志：（1）刪除應(yīng)用程序日志：elsave.exe-s\\192.168.137.134-l"application"–C（2）刪除安全日志：elsave.exe-s\\192.168.137.134-l"security"-C（3）刪除系統(tǒng)日志：elsave.exe-s\\192.168.137.134-l"system"–C。步驟3在WindowsServer2008中，還可使用系統(tǒng)自帶的wevtutil工具刪除日志，使用方式如圖9-30所示。圖9-30wevtutil工具使用方式wevtutil工具清除日志命令如下：wevtutilel//以上命令可以顯示各個(gè)日志的名字wevtutilclapplicationwevtutilclsecurity6.清除IIS日志。清除IIS日志可以在日志目錄中直接刪除日志文件，但是將日志文件全部刪除也容易被察覺到，因此攻擊者需要選擇性的刪除日志，此時(shí)可以使用工具CleanIISLog進(jìn)行清除。它可以指定清除哪個(gè)IP的日志，命令格式如下：CleanIISLog[LogFile][CleanIP]其中各個(gè)參數(shù)的含義如下：LogFile：日志文件名。CleanIP：要清除的IP，“.”表示全部IP。例如：CleanIISLogC:\inetpub\logs\LogFiles\W3SVC1\ex131018.log34//以上命令刪除ex131018.log日志文件中包含IP地址為34的日志記錄步驟1將CleanIISLog工具上傳到被攻擊者計(jì)算機(jī)C盤中，在命令提示符中查看該工具的使用，如圖9-31所示。圖9-31CleanIISLog工具的使用步驟2刪除圖9-25中2021年7月17日18:18產(chǎn)生的那條日志，命令如圖9-32所示。再次查看IIS日志文件，如圖9-33所示，18:18分產(chǎn)生的日志已被刪除。圖9-32刪除指定日志以上命令刪除u_ex210717.log日志文件中包含IP地址為34的日志記錄。在刪除時(shí)，CleanIISLog工具會(huì)先關(guān)閉w3svc日志服務(wù)，然后清除指定記錄，再重新打開w3svc日志服務(wù)。圖9-33刪除指定日志文件后的日志目錄7.防范Windows痕跡清除。

（1）上傳設(shè)備日志。防范攻擊者清除日志的最好辦法是把日志發(fā)送到日志服務(wù)器上，進(jìn)行統(tǒng)一管理。除非攻擊者能同時(shí)控制日志服務(wù)器，在日志服務(wù)器上刪除日志，否則攻擊者將留下痕跡。有些要求非常高的單位，會(huì)把日志立即打印在紙上，這樣攻擊者也就無法刪除了。Windows7/WindowsServer2008系統(tǒng)本身提供日志訂閱功能，可以把日志發(fā)送另外的Windows7/WindowsServer2008計(jì)算機(jī)上，以便集中化管理。業(yè)界大多采用Syslog來集中管理日志，Syslog是一種工業(yè)標(biāo)準(zhǔn)的協(xié)議，可用來記錄設(shè)備的日志。Linux系統(tǒng)、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備大多支持，遺憾的是Windows并不支持，因此需要安裝第三方軟件把Windows的日志轉(zhuǎn)為Syslog日志格式，再發(fā)送到Syslog服務(wù)器上，進(jìn)行統(tǒng)一管理和分析。該部分所使用的IP地址規(guī)劃如表9-1所示。表9-1防范Windows痕跡清除任務(wù)IP地址規(guī)劃設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址WindowsServer2008-1Syslog服務(wù)器WindowsServer200834/24WindowsServer2008-2客戶端WindowsServer200835/24步驟1在WindowsServer2008-1上安裝Kiwi_Syslog_Server_9.3.0，安裝過程比較簡(jiǎn)單，全部單擊“Next”即可，安裝完成后，打開界面如圖9-34所示。由于使用的是試用版，因此會(huì)提醒30天的試用期。圖9-34Syslog軟件界面步驟2在WindowsServer2008-2上安裝NTSyslog2軟件，安裝過程比較簡(jiǎn)單，全部單擊“Next”即可，安裝完成后，打開界面如圖9-35所示。圖9-35NTSyslog2軟件界面知識(shí)鏈接：NTsyslog是一款免費(fèi)軟件，可以作為一項(xiàng)服務(wù)存在于WindowsNT操作系統(tǒng)，將所有的系統(tǒng)、安全、應(yīng)用事件格式化成一行，然后發(fā)送到syslog服務(wù)器。步驟3在圖9-35中，點(diǎn)擊“SyslogDaemons”，設(shè)置Syslog服務(wù)器地址。如果有備份日志服務(wù)器，可以同時(shí)填寫主服務(wù)器地址和備份服務(wù)器地址，增強(qiáng)可靠性；如果沒有備份日志服務(wù)器，則只填一個(gè)主服務(wù)器地址也可以，如圖9-36所示。圖9-36設(shè)置Syslog服務(wù)器地址步驟4在圖9-35中，通過“EventLog”選項(xiàng)選擇上傳到日志服務(wù)器的日志類型，包括應(yīng)用程序日志、DNS服務(wù)器日志、系統(tǒng)硬件事件日志、瀏覽器日志、關(guān)鍵管理服務(wù)日志等，這些日志類型與“事件查看器”中的Windows日志類型一致。點(diǎn)擊“EventLog”鍵，在設(shè)置界面的“Facility”選項(xiàng)中可以選擇Windows以什么設(shè)備名發(fā)送日志，以便區(qū)分出是哪臺(tái)設(shè)備發(fā)送的日志；在“Severity”選項(xiàng)可以選擇將Windows日志轉(zhuǎn)為Syslog日志的哪個(gè)嚴(yán)重等級(jí)，包括（1）警報(bào)（2）嚴(yán)重（3）錯(cuò)誤（4）警告（5）注意（6）信息（7）排錯(cuò)，如圖9-37所示。圖9-37設(shè)置傳輸?shù)娜罩绢愋图叭罩巨D(zhuǎn)換后的類型步驟5以上設(shè)置完成后，在圖9-35中，點(diǎn)擊“StartService”啟動(dòng)服務(wù)，然后在WindowsServer2008-1上等待WindowsServer2008-2將日志發(fā)送過來。由于日志傳輸時(shí)間可能較慢，可以在WindowsServer2008-2通過一些操作制造一些事件日志，稍后在WindowsServer2008-1上即可看到相關(guān)日志，如圖9-38所示。圖9-38客戶端將日志傳輸?shù)饺罩痉?wù)器知識(shí)鏈接：除了可以將Windows計(jì)算機(jī)上的日志傳輸?shù)饺罩痉?wù)器，還可以將網(wǎng)絡(luò)設(shè)備如路由器上的日志傳輸?shù)饺罩痉?wù)器上，在傳輸前注意兩者必須保持系統(tǒng)時(shí)間一直，以免因時(shí)間不同步無法上傳。（2）修改日志文件的存放目錄。在WindowsServer2008R2操作系統(tǒng)中，Windows日志文件的默認(rèn)保存路徑是“C:\Windows\System32\winevt\Logs”，可以通過修改注冊(cè)表來改變它的存儲(chǔ)目錄，增強(qiáng)對(duì)日志的保護(hù)。步驟1在WindowsServer2008R2操作系統(tǒng)中，選擇“開始”—“運(yùn)行”命令，在對(duì)話框中輸入“Regedit”命令，打開注冊(cè)表編輯器，依次展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\serv