Buscando al intruso...Las pistas están en los Logs
Por Enrique Dutra
Este artículo formará parte de tres entregas, en donde analizaremos los logs de seguridad de MS Windows 2003/2008. Se tratarán los códigos que generan los eventos más frecuentes de la plataforma. Espero que los disfruten.
Introducción
En los servidores, se generan registros de las actividades de los servicios que están en modo de ejecución, accesos al servidor , ejecución de aplicaciones, y operaciones de seguridad en archivos con formato de texto, que a partir de ahora denominaremos LOGS. Los mismos son una fuente de información más que interesante cuando hay que buscar antecedentes sobre lo que está sucediendo en un servidor. La técnica más usual de los intrusos que invaden un sistema o intenta hacerlo, es de hacer limpieza de logs para borrar las huellas de un ataque o intento del mismo, tratando así que no sean detectados.
Muchas veces los intrusos piensan que borrando estos registros desde el visor de eventos de los sistemas operativos Ms Windows la evidencia digital ha sido eliminada. Pero no debemos olvidarnos, que si tenemos aplicaciones corriendo sobre el mismo, podremos encontrar los logs de la aplicación, que a su vez tendrá información sobre las actividades en el servidor, como por ejemplo los logs del Internet Information Services, cuando posee habilitado el log del W3SVC.El formato del archivo es W3C Extended Log File Format (W3SVC1).
Este artículo formará parte de tres entregas, en donde analizaremos los logs de seguridad de MS Windows 2003/2008. Se tratarán los códigos que generan los eventos más frecuentes de la plataforma. Espero que los disfruten.
Introducción
En los servidores, se generan registros de las actividades de los servicios que están en modo de ejecución, accesos al servidor , ejecución de aplicaciones, y operaciones de seguridad en archivos con formato de texto, que a partir de ahora denominaremos LOGS. Los mismos son una fuente de información más que interesante cuando hay que buscar antecedentes sobre lo que está sucediendo en un servidor. La técnica más usual de los intrusos que invaden un sistema o intenta hacerlo, es de hacer limpieza de logs para borrar las huellas de un ataque o intento del mismo, tratando así que no sean detectados.
Muchas veces los intrusos piensan que borrando estos registros desde el visor de eventos de los sistemas operativos Ms Windows la evidencia digital ha sido eliminada. Pero no debemos olvidarnos, que si tenemos aplicaciones corriendo sobre el mismo, podremos encontrar los logs de la aplicación, que a su vez tendrá información sobre las actividades en el servidor, como por ejemplo los logs del Internet Information Services, cuando posee habilitado el log del W3SVC.El formato del archivo es W3C Extended Log File Format (W3SVC1).
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!