发表于:2010-12-17 浏览:348 作者: 来源:互联网

关键字:FTP日志分析

描述:FTP日志和WWW日志在默认情况下，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日产生的日志，用记事本可直接打开，普通的有入侵行

FTP日志和WWW日志在默认情况下，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日产生的日志，用记事本可直接打开，普通的有入侵行为的日志一般是这样的：

#Software: Microsoft Internet Information Services 5.0（微软IIS5.0）

#Version: 1.0 （版本1.0）

#Date: 20040419 0315 （服务启动时间日期）

#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331（IP地址为127.0.0.1用户名为administator试图登录）

0318 127.0.0.1 [1]PASS – 530（登录失败）

032:04 127.0.0.1 [1]USER nt 331（IP地址为127.0.0.1用户名为nt的用户试图登录）

032:06 127.0.0.1 [1]PASS – 530（登录失败）

032:09 127.0.0.1 [1]USER cyz 331（IP地址为127.0.0.1用户名为cyz的用户试图登录）

0322 127.0.0.1 [1]PASS – 530（登录失败）

0322 127.0.0.1 [1]USER administrator 331（IP地址为127.0.0.1用户名为administrator试图登录）

0324 127.0.0.1 [1]PASS – 230（登录成功）

0321 127.0.0.1 [1]MKD nt 550（新建目录失败）

0325 127.0.0.1 [1]QUIT – 550（退出FTP程序）

从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知这个IP至少有入侵企图！而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用 Administrator用户名进入的，那么就要考虑此用户名是不是密码失窃？还是被别人利用？接下来就要想想系统出什么问题了。