1。基于80端口入侵检测
www服务可能是最常见的服务之一。此外,由于这项服务面向大多数用户,服务的流量和复杂度非常高,因此该服务的脆弱性和入侵能力也是最大的,对于NT来说,IIS一直是系统管理员头痛的问题。(讨厌关闭80端口),但幸运的是,IIS的日志功能可以用于入侵检测在一定程度上有益的帮助。IIS的日志文件默认存放在system32 /日志文件目录。它们通常在24小时内滚动,并且可以在IIS管理器中详细配置。(我不关心你,但如果你不详细记录,你就不能回头看入侵者的IP,不要哭)
现在让我们假设(你总是假设,不麻烦)别急,我不会写这篇文章要真的去黑掉一台主机,所以我们必须假设,如果一个网页,打开WWW服务,你是系统管理员,精心配置IIS,使用W3C扩展日志格式,并记录时间(至少一次),IP(客户端IP),客户端的方法(方法),URI(URI干)和资源(URI,URI查询)查询协议(协议状态),我们用最近流行的Unicode漏洞分析:在地址栏中打开IE窗口中输入:127.0.0.1 /脚本/ % % 1c C1 .. / / / WinNT System32 CMD文件。 / C +目录默认情况下你可以看到目录列表(什么您已经完成了安全配置,看不见吗恢复默认安装,我们要做一个实验),让我们在IIS日志记录所开ex010318.log看(前代表W3C扩展格式,下面的一串数字代表日志记录日期):07:42:58 127.0.0.1得到 /脚本/,, / / WinNT system32 cmd.exe / C +目录200本日志说07:42:58 GMT(北京时间23:42:58),其中一个家伙(入侵者)从Unicode 127.0.0.1 IP漏洞在您的机器上使用(% C1 % 1c解码为(哇,记录是完整的,我不敢玩Unicode在随机后。)
在大多数情况下,IIS日志记录它收到的任何请求(有专门的记录不是由IIS攻击,我们以后再讨论),因此,一个优秀的管理者应该善于利用这一发现入侵企图保护他们的系统。但是,IIS日志动辄几十兆,流量大的网站或甚至数十G,手动检查几乎是不可能的,唯一的选择是使用日志分析,使用任何语言的日志分析(即文本过滤器)是很简单的,但要考虑实际情况(如管理员不会写程序,或者我找不到日志分析),我可以告诉你一个简单的方法,你想知道是否有人试图通过端口80来得到你的Global.asa文件,你可以使用以下命令:cmd找到Global.asa ex010318.log /我这个命令是用于NT find.exe工具(害怕急救情况找不到),你可以很容易地找到从文本文件你想过滤的字符串,全球。作为是一个查询字符串,ex010318.log是一个文本文件被过滤,和 /我代表忽略的情况。因为我不打算写这篇文章的帮助文档,那么这个命令和其增强版findstr.exe使用其他参数,请参阅Win2000的帮助文件。
无论是基于日志分析或查找命令,您可以设置一个敏感的字符串列表,其中包含IIS漏洞(如+。高温气冷堆),未来将出现的漏洞可能会调用的资源(比如Global.asa或CMD。exe),不断更新,通过过滤字符串表,可以了解入侵者尽快行动。
需要提醒的是,任何日志分析的使用会占用系统资源,因此,对于这样一个低优先级任务的IIS日志分析的自动执行会在晚上的时间是比较合适的,如果你写一个脚本来过滤可疑的文本发送给系统管理员,更完美。在同一时间,如果敏感字符串表大,过滤策略是复杂的,我建议最好是用C写的一个特别节目
2。基于安全日志的检测
基于IIS日志的入侵检测,我们可以知道套期保值者的行踪(如果你处理不当,套期保值者将成为入侵者,但在任何时间)IIS日志不是万能的,在某些情况下甚至不能记录来自80端口的入侵,根据IIS日志分析系统,IIS会被写入日志只有当请求完成,换句话说,如果一个请求失败,有日志文件中没有它的痕迹(这里的失败并不意味着在这种情况下,发生http400错误但从TCP层不完整的HTTP请求,如大量后的数据时,中止)。入侵者可能绕过日志系统完成大量活动。
此外,对于非80个唯一主机,入侵者也可以从其他服务中进入。因此,必须建立一个完整的安全监控系统。
Win2000具有相当强大的安全日志系统,具有用户登录权限很详细的记录。不幸的是,安全审计是默认安装后停用,所以黑一些主机无法追踪入侵者。所以,我们要做的第一步是在本地安全策略管理工具--本地策略--审核策略中打开必要的审核,一般来说,登录事件和帐户管理是我们的最关注的事件,同时成功和审计失败是必要的打开,其他的是开放的审计审核失败,这样你就可以一步很难,没有人会暴露。只是打开安全审计并不能完全解决问题。如果没有一个好的配置的大小和安全日志的覆盖,一个老练的入侵者能够掩盖他的真实下落通过洪水侵袭的伪造请求。通常情况下,安全日志的大小指定为50MB,只有前7天的日志可以避免上述发生。
设置安全日志不检查不安全日志(几乎是唯一的优势是天黑后可以跟踪入侵者,所以检查机制一样糟糕)开发安全日志也很重要,因为安全日志,推荐的检查时间,每天早上,这是因为侵略者爱夜晚行动(快啊,或当你甚至还不到一半的入侵,但哭)早上的第一件事就是看看日志有没有异常,那么你可以做其他的事情。如果你愿意,你也可以编写脚本,每天发送给你邮件的安全日志。(不要太相信这一点。)。如果你能改变你的脚本,每天发送安全和声音。
除了安全日志,辅助监测工具,系统日志和应用程序日志一般也很好,除了入侵者留下的痕迹,在安全日志(如果他有管理员权限,然后他会去消除痕迹的),在系统和应用程序日志会留下痕迹,作为系统管理员不让任何异常的态度,使入侵者难以掩盖他们的行踪。
三.文件访问日志和密钥文件保护
除了系统的默认安全审计之外,我们还必须添加文件访问日志来记录对密钥文件的访问。
文件访问有很多选项:访问、修改、执行、新建和属性更改。一般来说,注意和访问可以起到很大的监控作用。
例如,如果我们监控系统目录下,修改创作,甚至一些重要文件的访问(例如cmd.exe,程序,system32,然后目录)很难恢复,引起了我们的注意,应注意监测关键文件和项目不能太多,否则不不仅增加了系统的负担会扰乱日常的监测工作
哪一个系统管理员有耐心每天看四或五千个垃圾日志
密钥文件不仅指系统文件,包括可能为系统管理员/其他用户构成的任何文件危害,如系统管理员配置、桌面文件等,这些都有可能窃取信息系统管理员密码。
4。过程监控
监控技术的过程又是一个强大的武器跟踪超过90%个后门木马,木马和后门的存在过程中形成(也存在于其他形式的木马,看到神秘木马三),作为一个系统管理员,了解每个过程是一个职责运行(不说安全,甚至没有办法做),做一个列表,每个操作的过程是需要帮助管理员看到入侵的过程中,用户进程不正常或异常的资源在过程中很有可能是非法的。除过程中,DLL也是危险的事,例如,在一个木马的EXE类型重写DLL Rundll32使用更加扑朔迷离。
5。检查
一般来说,木马或者后门将使用运行本身了,所以,检查发现入侵是常用方法之一。一般来说,如果一个入侵者,只知道如何使用流行的木马,作为普通的木马可以写几个关键的具体(如跑、RunOnce等),这是比较容易找到的,但可以写或改写木马,人们随时随地都可以隐藏,通过手动搜索是不可能的。(如需要隐藏的无数的变化,fakegina技术,使用特别提到WinNT嵌入式DLL登录(ginadll)获得用户密码的方法是最近比较流行的,一旦被抓,登录用户的密码将被记录详尽,具体的预防方法,是不是我的介绍这种方法是监视任何变化,因此无法重写特洛伊房间。许多特洛伊木马都有这样的功能。一个监视器加上定期备份,万一未经授权的修改,系统管理员也可以在最短的时间内恢复。
6、端口监控
虽然不使用端口的木马已经出现,但是大部分的后门和木马或使用TCP连接端口进行监测,状态是非常重要的因为种种原因无法阻止主机端口,我们不谈论使用NDIS网络编程的IDS系统,对于系统管理员监控自己的理解开放港口甚至比过程更重要,netstat通常用于查看端口的状态是一个很好的习惯,但不是24小时这样做,但安全日志NT有个坏习惯,喜欢记录机器名而不是IP(不知道怎么想的,如果比尔的封面)你是不是没有防火墙,入侵检测,它是可能的脚本IP日志,看看这个命令:
netstat - N - P的TCP 10 > > netstat.log,其中每10秒自动检查TCP连接状态,根据该命令,我们做一个netlog.bat文件:
时间/ t > > netstat.log
netstat - N - P的TCP 10 > > netstat.log
这个脚本会自动记录时间和TCP连接状态,需要注意的是:如果网站流量比较大,所以操作需要消耗一定的CPU时间,而日志文件会越来越大,所以请小心(如果脚本是完美的,谁会购买防火墙呢):)
一旦发现异常的端口,可以使用特殊的程序把端口、可执行文件和流程(如inzider具有这样的功能,它可以发现港口听并找出端口相关的文件,可以从下载的inzider,所以)使用TCP或UDP木马无处藏身。
7、终端服务的日志监控
单独的终端服务(终端服务)的日志监测出来是有原因的,一个终端服务终端服务程序的版本是基于远程桌面协议(RDP)的工具,它的速度非常快,非常稳定,可以是一个很好的远程管理,但由于此功能只能通过强密码保护,所以它是非常危险的,一旦入侵者的管理员密码,你可以运行相同的距离为机(不需要先进的NT命令行技巧,编写脚本和程序,特别是只要所有的系统管理操作,使用鼠标可真是太方便了,这是真的可怕的)。虽然很多人都在使用终端服务远程管理,但不是每个人都知道如何验证终端服务,大多数的终端不打开终端登录日志,其实打开日志审计是非常容易的,在配置管理工具打开远程控制服务(终端服务配置)。点击右键,点击连接要配置RDP服务(如rdp-tcp(微软RDP 5),选择书签许可我们必须加入一个Everyone组,代表所有的用户,然后查看他的连接现在我记录清晰,但想要完美不记录客户端的IP的可怜的东西在(在线用户只能查看IP),但是记录你的机器名华而不实,但!如果别人有一个猪机器的名字,你必须被他嘲笑。你不知道怎么想。它似乎还不完全依靠它。我们自己来这儿吧写一个程序,一切都完成了,你会是C吗没有VB怎么样不是吗Delphi…什么你没有任何编程语言我认为,毕竟,系统管理员不是程序员。不必担心,我给你一个解决办法。我们将创建一个称为tslog.bat BAT文件,用来记录注册的IP。
时间/ t > > tslog.log
netstat -n -p tcp发现:3389> > tslog.log
启动资源管理器
让我解释一下这份文件的意思。
第一行是记录用户登录的时间。时间t的意思是直接返回到系统时间。如果没有添加T,系统将等待您进入新的时间。然后,我们将使用这个附加符号记录这个时间到TSLog.log作为日志的时间场。
第二行是记录用户的IP地址,netstat是用来显示网络连接命令的当前状态,N显示IP和端口,而不是- PTCP协议、TCP协议显示,然后用管道符号这个命令的结果是从发现命令来查找包含输出输出:3389的行(这就是我们要的客户的IP,如果你改变了终端服务的端口,这个值也要作相应的改变),最后我们还去重定向到结果中的日志文件tslog.log,所以的slog.log文件格式如下:
22:40
192.168.10.123:4903建立TCP 192.168.12.28:3389
22时54分
192.168.12.29:1039建立TCP 192.168.12.28:3389
也就是说,只要tslog.bat文件运行,所有连接到3389端口的IP将被记录。那么我们怎样才能自动运行批处理文件呢我们知道,终端服务允许我们在终端服务配置自定义启动程序,我们覆盖用户的登录脚本设置并指定打开脚本的tslog.bat用户登录,以便用户登录必须执行脚本,因为默认的脚本(相当于壳)是Explorer(资源管理器),所以我和探险家startexplorer命令开始tslog.bat最后一排,如果不是命令行,是没有办法进入桌面用户!当然,如果只需要给用户一个特定的shell:
例如,cmd.exe或word.exe,你也可以用任何壳更换启动浏览器。这个脚本也可以有其他的方式,作为一个系统管理员,你可以使用你的想象力的自由,自己的资源,例如免费使用,写一个脚本把每个IP用户登录到你的邮箱里重要的也是好方法。在正常情况下,一般的用户终端服务没有权限设置,所以他不会知道你的IP审计日志,只要tslog.bat文件和一个隐藏的目录tslog.log文件是足够的,但请注意,这只是一个简单的登录终端服务策略,并没有太多安全措施和监督机制,如果有更高的安全要求,这是需要程序夯实完成购买或入侵检测。
