如何保护日志服务器安全？

　　一、攻击者清除日志的常用伎俩

　　1、Web服务器租用系统中的日志

　　以Windows Server 2003平台的Web服务器租用为例，其日志包括：安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看，WWW日志和FTP日志以log文件的形式存放在硬盘中。

　　(1)。安全日志文件：C：\WINDOWS\system32\config\SecEvent.Evt

　　(2)。系统日志文件：C：\WINDOWS\system32\config\SysEvent.Evt

　　(3)。应用程序日志文件：C：\WINDOWS\system32\config\AppEvent.Evt

　　(4).FTP日志默认位置：C：\WINDOWS\system32\Logfiles\MSFTPSVC1

　　(5).WWW日志默认位置：C：\WINDOWS\system32\Logfiles\W3SVC1

　　2、非法清除日志

　　上述这些日志在服务器租用正常运行的时候是不能被删除的，FTP和WWW日志的删除可以先把这2个服务停止掉，然后再删除日志文件，攻击者一般不会这么做的。系统和应用程序的日志是由守护服务Event Log支持的，而它是没有办法停止的，因而是不能直接删除日志文件的。攻击者在拿下Web服务器租用后，一般会采用工具进行日志的清除，其使用的工具主要是CL和CleanIISLog。

　　(1)。利用CL彻底清除日志

　　这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等，使用的操作非常简单。

　　在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器租用与Web和FTP和计划任务相关的日志。其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志，然后再启动三个服务。

　　该工具还可以选择性地清除相应的日志，比如输入“cl -eventlog All”就会清除Web服务器租用中与系统相关的日志。另外，此工具支持远程清理，这是攻击者经常采用的方法。首先他们通过命令“net use \\ip\ipc$ 密码/user：用户名”在本地和服务器租用建立了管理员权限的IPC管理连接，然后用“CL -LogFile IP”命令远程清理服务日志。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]