Win2000服务器的入侵检测
2004-10-15 22:37:30
我要作出贡献
Win2000服务器的安全配置,以及配置的Win2000 Server可以防止入侵和渗透,但是超过90%,系统安全是一个连续的过程,随着新漏洞的出现和服务器应用的变化,安全系统是不断变化的;同时进攻同样是矛盾的统一体,道消魔和魔火长也在不断变化,因此,系统管理员不能保证高明是一个提供服务的长时间没有入侵服务器。
因此,安全配置服务器不是安全工作的结束。相反,这是一个漫长而乏味的安全工作的开始。我将尝试探讨Win2000服务器入侵检测的初步技巧,希望能帮助你长期保持服务器的安全性。
入侵检测手段检测利用Win2000 Server的功能和软件/系统管理员编写脚本。使用防火墙或入侵检测系统(IDS)的技术不属于本文的范围。
现在,假设我们有一个Win2000 Server服务器和已初步配置安全。在这种情况下,大部分的入侵者将被排除。(哈哈,我可以回家睡觉的管理员)等等,我说的是大多数,不是全部,初始安全配置的服务器后,可以为脚本小子(脚本组绝大多数只会使用程序的人编写的入侵服务器),遇到了真正的高手,还是不堪一击。虽然真正的主人不会进入到另一个服务器,但也难有几个品行不端的邪派大师在你的服务器上。(我真的那么糟糕吗)而且,在发布和补丁漏洞之间的真空度往往发现有一段时间,任何数据脆弱性都是人们可以利用的弱点,那么,它对于入侵检测技术是非常重要的。
入侵检测主要是基于应用程序。提供相应的服务应有相应的检测分析系统进行保护。对于一般主持人,我们要注意以下几个方面。
1。基于80端口入侵检测
www服务可能是最常见的服务之一。此外,由于这项服务面向大多数用户,服务的流量和复杂度非常高,因此该服务的脆弱性和入侵能力也是最大的,对于NT来说,IIS一直是系统管理员头痛的问题。(讨厌关闭80端口),但幸运的是,IIS的日志功能可以用于入侵检测在一定程度上有益的帮助。IIS的日志文件默认存放在system32 /日志文件目录。它们通常在24小时内滚动,并且可以在IIS管理器中详细配置。(我不关心你,但如果你不详细记录,你就不能回头看入侵者的IP,不要哭)
现在让我们假设(你总是假设,不麻烦)别急,我不会写这篇文章要真的去黑掉一台主机,所以他不得不假设,我们假设一个网络服务器,打开WWW服务,你这台服务器的管理员已经精心配置IIS,使用W3C扩展日志格式,并记录在最少的时间(时间)、IP(IP),客户端的方法(方法),URI(URI干)和资源(URI,URI查询)查询协议(协议状态),我们用最近流行的Unicode漏洞分析:在地址栏中打开IE窗口中输入:127.0.0.1 / /脚本% C1 % 1c .. / / / WinNT System32 CMD文件。 / C +的情况下,你可以看到列表目录默认(什么您已经完成了安全配置,看不见吗恢复默认安装,我们要做一个实验),让我们在IIS日志记录所开ex010318.log看(前代表W3C扩展格式,下面的一串数字代表日志记录日期):07:42:58 127.0.0.1得到 /脚本 / / / WinNT。system32cmd.exe / C +目录…200以上07:42:58 GMT线对数(即北京时间23:42:58),其中一个家伙(入侵者)从Unicode 127.0.0.1 IP漏洞在您的机器上使用(% C1 % 1c解码为(哇,记录是完整的,我不敢玩Unicode在随机后。)
在大多数情况下,IIS日志记录它收到的任何请求(有专门的记录不是由IIS攻击,我们以后再讨论),因此,一个优秀的管理者应该善于利用这一发现入侵企图保护他们的系统。但是,IIS日志动辄几十兆,流量大的网站或甚至数十G,手动检查几乎是不可能的,唯一的选择就是使用日志分析软件,用任何语言软件日志分析(即文本过滤器)是很简单的,没有考虑到实际情况(如管理员不会写在服务器,一个程序或找不到日志分析软件),我可以告诉你一个简单的方法,你想知道如果任何人试图端口80来得到你的Global.asa文件,可以使用以下命令:cmd找到Global.asa ex010318.log /我这个命令是用于NT find.exe(急救,怕找不到),你可以很容易地找到从文本文件你想过滤的字符串,全球。作为必要的查询字符串,ex010318.log是一个文本文件进行过滤,和 /我代表忽略的情况。因为我不打算写这篇文章是微软的帮助文档。所以,对于这个命令的增强版findstr.exe使用其他参数,请看Win2000的帮助文件。
无论是基于日志分析软件或查找命令,您可以设置一个敏感的字符串列表,其中包含IIS漏洞(如+。高温气冷堆),未来将出现的漏洞可能会调用的资源(比如Global.asa或CMD。exe),不断更新,通过过滤器字符串表,可以了解尽快行动。
需要提醒的是,分析软件会占用系统资源,因此任何日志的使用,对于这样一个低优先级任务的IIS日志分析的自动执行会在晚上的时间是比较合适的,如果你写一个脚本来可疑的文本过滤发送给系统管理员,更完美。在同时,如果敏感字符串表大,过滤策略是复杂的,我建议最好是用C写的一个特别节目
2。基于安全日志的检测
基于IIS日志的入侵检测,我们可以知道套期保值者的行踪(如果你处理不当,套期保值者将成为入侵者,但在任何时间)IIS日志不是万能的,在某些情况下甚至不能记录来自80端口的入侵,根据IIS日志分析系统,IIS会被写入日志只有当请求完成,换句话说,如果一个请求失败,有日志文件中没有它的痕迹(这里的失败并不意味着在这种情况下,发生http400错误但从TCP层不完整的HTTP请求,如大量后的数据时,中止)。入侵者可能绕过日志系统完成大量活动。
此外,对于只有80个主机,入侵者也可以从其他服务进入服务器。因此,建立一个完整的安全监控系统是十分必要的。
Win2000具有相当强大的安全日志系统,具有用户登录权限很详细的记录。不幸的是,安全审计是默认安装后停用,所以黑一些主机无法追踪入侵者。所以,我们要做的第一步是在本地安全策略管理工具--本地策略--审核策略中打开必要的审核,一般来说,登录事件和帐户管理是我们的最关注的事件,同时成功和审计失败是必要的打开,其他的是开放的审计审核失败,这样你就可以一步很难,没有人会暴露。只是打开安全审计并不能完全解决问题。如果没有一个好的配置的大小和安全日志的覆盖,一个老练的入侵者能够掩盖他的真实下落通过洪水侵袭的伪造请求。通常情况下,安全日志的大小指定为50MB,只有前7天的日志可以避免上述发生。
设置安全日志不检查不安全日志(几乎是唯一的优势是天黑后可以跟踪入侵者,所以检查机制一样糟糕)开发安全日志也很重要,因为安全日志,推荐的检查时间,每天早上,这是因为侵略者爱夜晚行动(快啊,或当你甚至还不到一半的入侵,但哭)早上的第一件事就是看看日志有没有异常,那么你可以做其他的事情。如果你愿意,你也可以编写脚本,每天发送给你邮件的安全日志。(不要太相信这一点。)。如果你能改变你的脚本,每天发送安全和声音。
除了安全日志,辅助监测工具,系统日志和应用程序日志一般也很好,除了入侵者留下的痕迹,在安全日志(如果他有管理员权限,然后他会去消除痕迹的),在系统和应用程序日志会留下痕迹,作为系统管理员不让任何异常的态度,使入侵者难以掩盖他们的行踪。
三.文件访问日志和密钥文件保护
除了系统的默认安全审计之外,我们还必须添加文件访问日志来记录对密钥文件的访问。
文件访问有很多选项:访问、修改、执行、新建和属性更改。一般来说,注意和访问可以起到很大的监控作用。
例如,如果我们监控系统目录下,修改创作,甚至一些重要文件的访问(例如cmd.exe,程序,system32,然后目录)很难放回没有引起我们的注意,它是注意的关键文件监控和项目不能太多,否则不仅增加了对系统会扰乱日常监控工作日志的负担
哪一个系统管理员有耐心每天看四或五千个垃圾日志
密钥文件不仅指系统文件,包括可能为系统管理员/其他用户构成的任何文件危害,如系统管理员配置、桌面文件等,这些都有可能窃取信息系统管理员密码。
4。过程监控
监控技术的过程又是一个强大的武器跟踪超过90%个后门木马,木马和后门的存在过程中形成的,作为一个系统管理员,了解每个进程运行在服务器的职责是一个(不要说安全,甚至系统的优化是没有办法做的),使列表中的每个服务器上运行的过程是需要帮助管理员看到入侵的过程中,用户进程不正常或异常的资源可能是非法的过程。除过程中,DLL也是危险的事,例如,在木马的EXE类型重写DLL,使用Rundll32更令人困惑的。
5。检查登记表
一般来说,木马或后门程序会使用注册表来运行自己,因此检查注册表来发现入侵也是一种常用的技术。一般来说,如果一个入侵者,只知道如何使用流行的木马,作为普通的木马可以写几个关键的具体(如跑、RunOnce等),这是比较容易找到的,但可以写或改写木马人登记表
单击复制链接与您的朋友共享!回到主页
你对这篇文章有什么看法或疑问吗请前来论坛讨论您的关注和建议,作为我们前进的参考和动力。
最后一个:如何读取源代码
下一步:局域网安全
相关文章
关闭无用的端口系统
Win2000的安全检查表(初,中,高级)
关闭无用的端口系统
为win2000server终端服务工具
迅速打开Win2000 Telnet
扫描一个网段的所有端口(Win2000)
修改注册表来提高抗拒绝服务攻击win2000
如何加强系统安全
手动删除来宾帐户在Win2000 / XP / 2003
Win2000本身对ICMP攻击和拒绝服务
图文推荐
