当前位置:首页 > 日记 > 正文

系统安全性-Win2000服务器入侵监测

系统安全性-Win2000服务器入侵监测
入侵检测主要是基于应用程序。提供相应的服务应有相应的检测分析系统进行保护。对于一般主持人,我们要注意以下几个方面。

1。基于80端口入侵检测

www服务可能是最常见的服务之一。此外,由于这项服务面向大多数用户,服务的流量和复杂度非常高,因此该服务的脆弱性和入侵能力也是最大的,对于NT来说,IIS一直是系统管理员头痛的问题。(讨厌关闭80端口),但幸运的是,IIS的日志功能可以用于入侵检测在一定程度上有益的帮助。IIS的日志文件默认存放在system32 /日志文件目录。它们通常在24小时内滚动,并且可以在IIS管理器中详细配置。(我不关心你,但如果你不详细记录,你就不能回头看入侵者的IP,不要哭)

现在让我们假设(你总是假设,不麻烦)别急,我不会写这篇文章要真的去黑掉一台主机,所以我们必须假设,如果一个网页,打开WWW服务,你是系统管理员,精心配置IIS,使用W3C扩展日志格式,并记录时间(至少一次),IP(客户端IP),客户端的方法(方法),URI(URI干)和资源(URI,URI查询)查询协议(协议状态),我们用最近流行的Unicode漏洞分析:在地址栏中打开IE窗口中输入:127.0.0.1 /脚本/ % % 1c C1 .. / / / WinNT System32 CMD文件。 / C +目录默认情况下你可以看到目录列表(什么您已经完成了安全配置,看不见吗恢复默认安装,我们要做一个实验),让我们在IIS日志记录所开ex010318.log看(前代表W3C扩展格式,下面的一串数字代表日志记录日期):07:42:58 127.0.0.1得到 /脚本/,, / / WinNT system32 cmd.exe / C +目录200本日志说07:42:58 GMT(北京时间23:42:58),其中一个家伙(入侵者)从Unicode 127.0.0.1 IP漏洞在您的机器上使用(% C1 % 1c解码为(哇,记录是完整的,我不敢玩Unicode在随机后。)

在大多数情况下,IIS日志记录它收到的任何请求(有专门的记录不是由IIS攻击,我们以后再讨论),因此,一个优秀的管理者应该善于利用这一发现入侵企图保护他们的系统。但是,IIS日志动辄几十兆,流量大的网站或甚至数十G,手动检查几乎是不可能的,唯一的选择是使用日志分析,使用任何语言的日志分析(即文本过滤器)是很简单的,但要考虑实际情况(如管理员不会写程序,或者我找不到日志分析),我可以告诉你一个简单的方法,你想知道是否有人试图通过端口80来得到你的Global.asa文件,你可以使用以下命令:cmd找到Global.asa ex010318.log /我这个命令是用于NT find.exe工具(害怕急救情况找不到),你可以很容易地找到从文本文件你想过滤的字符串,全球。作为是一个查询字符串,ex010318.log是一个文本文件被过滤,和 /我代表忽略的情况。因为我不打算写这篇文章的帮助文档,那么这个命令和其增强版findstr.exe使用其他参数,请参阅Win2000的帮助文件。

无论是基于日志分析或查找命令,您可以设置一个敏感的字符串列表,其中包含IIS漏洞(如+。高温气冷堆),未来将出现的漏洞可能会调用的资源(比如Global.asa或CMD。exe),不断更新,通过过滤字符串表,可以了解入侵者尽快行动。

需要提醒的是,任何日志分析的使用会占用系统资源,因此,对于这样一个低优先级任务的IIS日志分析的自动执行会在晚上的时间是比较合适的,如果你写一个脚本来过滤可疑的文本发送给系统管理员,更完美。在同一时间,如果敏感字符串表大,过滤策略是复杂的,我建议最好是用C写的一个特别节目

2。基于安全日志的检测

基于IIS日志的入侵检测,我们可以知道套期保值者的行踪(如果你处理不当,套期保值者将成为入侵者,但在任何时间)IIS日志不是万能的,在某些情况下甚至不能记录来自80端口的入侵,根据IIS日志分析系统,IIS会被写入日志只有当请求完成,换句话说,如果一个请求失败,有日志文件中没有它的痕迹(这里的失败并不意味着在这种情况下,发生http400错误但从TCP层不完整的HTTP请求,如大量后的数据时,中止)。入侵者可能绕过日志系统完成大量活动。

此外,对于非80个唯一主机,入侵者也可以从其他服务中进入。因此,必须建立一个完整的安全监控系统。

Win2000具有相当强大的安全日志系统,具有用户登录权限很详细的记录。不幸的是,安全审计是默认安装后停用,所以黑一些主机无法追踪入侵者。所以,我们要做的第一步是在本地安全策略管理工具--本地策略--审核策略中打开必要的审核,一般来说,登录事件和帐户管理是我们的最关注的事件,同时成功和审计失败是必要的打开,其他的是开放的审计审核失败,这样你就可以一步很难,没有人会暴露。只是打开安全审计并不能完全解决问题。如果没有一个好的配置的大小和安全日志的覆盖,一个老练的入侵者能够掩盖他的真实下落通过洪水侵袭的伪造请求。通常情况下,安全日志的大小指定为50MB,只有前7天的日志可以避免上述发生。

设置安全日志不检查不安全日志(几乎是唯一的优势是天黑后可以跟踪入侵者,所以检查机制一样糟糕)开发安全日志也很重要,因为安全日志,推荐的检查时间,每天早上,这是因为侵略者爱夜晚行动(快啊,或当你甚至还不到一半的入侵,但哭)早上的第一件事就是看看日志有没有异常,那么你可以做其他的事情。如果你愿意,你也可以编写脚本,每天发送给你邮件的安全日志。(不要太相信这一点。)。如果你能改变你的脚本,每天发送安全和声音。

除了安全日志,辅助监测工具,系统日志和应用程序日志一般也很好,除了入侵者留下的痕迹,在安全日志(如果他有管理员权限,然后他会去消除痕迹的),在系统和应用程序日志会留下痕迹,作为系统管理员不让任何异常的态度,使入侵者难以掩盖他们的行踪。
三.文件访问日志和密钥文件保护

除了系统的默认安全审计之外,我们还必须添加文件访问日志来记录对密钥文件的访问。

文件访问有很多选项:访问、修改、执行、新建和属性更改。一般来说,注意和访问可以起到很大的监控作用。

例如,如果我们监控系统目录下,修改创作,甚至一些重要文件的访问(例如cmd.exe,程序,system32,然后目录)很难恢复,引起了我们的注意,应注意监测关键文件和项目不能太多,否则不不仅增加了系统的负担会扰乱日常的监测工作
哪一个系统管理员有耐心每天看四或五千个垃圾日志

密钥文件不仅指系统文件,包括可能为系统管理员/其他用户构成的任何文件危害,如系统管理员配置、桌面文件等,这些都有可能窃取信息系统管理员密码。

4。过程监控

监控技术的过程又是一个强大的武器跟踪超过90%个后门木马,木马和后门的存在过程中形成(也存在于其他形式的木马,看到神秘木马三),作为一个系统管理员,了解每个过程是一个职责运行(不说安全,甚至没有办法做),做一个列表,每个操作的过程是需要帮助管理员看到入侵的过程中,用户进程不正常或异常的资源在过程中很有可能是非法的。除过程中,DLL也是危险的事,例如,在一个木马的EXE类型重写DLL Rundll32使用更加扑朔迷离。

5。检查

一般来说,木马或者后门将使用运行本身了,所以,检查发现入侵是常用方法之一。一般来说,如果一个入侵者,只知道如何使用流行的木马,作为普通的木马可以写几个关键的具体(如跑、RunOnce等),这是比较容易找到的,但可以写或改写木马,人们随时随地都可以隐藏,通过手动搜索是不可能的。(如需要隐藏的无数的变化,fakegina技术,使用特别提到WinNT嵌入式DLL登录(ginadll)获得用户密码的方法是最近比较流行的,一旦被抓,登录用户的密码将被记录详尽,具体的预防方法,是不是我的介绍这种方法是监视任何变化,因此无法重写特洛伊房间。许多特洛伊木马都有这样的功能。一个监视器加上定期备份,万一未经授权的修改,系统管理员也可以在最短的时间内恢复。

6、端口监控

虽然不使用端口的木马已经出现,但是大部分的后门和木马或使用TCP连接端口进行监测,状态是非常重要的因为种种原因无法阻止主机端口,我们不谈论使用NDIS网络编程的IDS系统,对于系统管理员监控自己的理解开放港口甚至比过程更重要,netstat通常用于查看端口的状态是一个很好的习惯,但不是24小时这样做,但安全日志NT有个坏习惯,喜欢记录机器名而不是IP(不知道怎么想的,如果比尔的封面)你是不是没有防火墙,入侵检测,它是可能的脚本IP日志,看看这个命令:

netstat - N - P的TCP 10 > > netstat.log,其中每10秒自动检查TCP连接状态,根据该命令,我们做一个netlog.bat文件:
时间/ t > > netstat.log
netstat - N - P的TCP 10 > > netstat.log

这个脚本会自动记录时间和TCP连接状态,需要注意的是:如果网站流量比较大,所以操作需要消耗一定的CPU时间,而日志文件会越来越大,所以请小心(如果脚本是完美的,谁会购买防火墙呢):)

一旦发现异常的端口,可以使用特殊的程序把端口、可执行文件和流程(如inzider具有这样的功能,它可以发现港口听并找出端口相关的文件,可以从下载的inzider,所以)使用TCP或UDP木马无处藏身。

7、终端服务的日志监控

单独的终端服务(终端服务)的日志监测出来是有原因的,一个终端服务终端服务程序的版本是基于远程桌面协议(RDP)的工具,它的速度非常快,非常稳定,可以是一个很好的远程管理,但由于此功能只能通过强密码保护,所以它是非常危险的,一旦入侵者的管理员密码,你可以运行相同的距离为机(不需要先进的NT命令行技巧,编写脚本和程序,特别是只要所有的系统管理操作,使用鼠标可真是太方便了,这是真的可怕的)。虽然很多人都在使用终端服务远程管理,但不是每个人都知道如何验证终端服务,大多数的终端不打开终端登录日志,其实打开日志审计是非常容易的,在配置管理工具打开远程控制服务(终端服务配置)。点击右键,点击连接要配置RDP服务(如rdp-tcp(微软RDP 5),选择书签许可我们必须加入一个Everyone组,代表所有的用户,然后查看他的连接现在我记录清晰,但想要完美不记录客户端的IP的可怜的东西在(在线用户只能查看IP),但是记录你的机器名华而不实,但!如果别人有一个猪机器的名字,你必须被他嘲笑。你不知道怎么想。它似乎还不完全依靠它。我们自己来这儿吧写一个程序,一切都完成了,你会是C吗没有VB怎么样不是吗Delphi…什么你没有任何编程语言我认为,毕竟,系统管理员不是程序员。不必担心,我给你一个解决办法。我们将创建一个称为tslog.bat BAT文件,用来记录注册的IP。

时间/ t > > tslog.log
netstat -n -p tcp发现:3389> > tslog.log
启动资源管理器
让我解释一下这份文件的意思。

第一行是记录用户登录的时间。时间t的意思是直接返回到系统时间。如果没有添加T,系统将等待您进入新的时间。然后,我们将使用这个附加符号记录这个时间到TSLog.log作为日志的时间场。

第二行是记录用户的IP地址,netstat是用来显示网络连接命令的当前状态,N显示IP和端口,而不是- PTCP协议、TCP协议显示,然后用管道符号这个命令的结果是从发现命令来查找包含输出输出:3389的行(这就是我们要的客户的IP,如果你改变了终端服务的端口,这个值也要作相应的改变),最后我们还去重定向到结果中的日志文件tslog.log,所以的slog.log文件格式如下:

22:40
192.168.10.123:4903建立TCP 192.168.12.28:3389
22时54分
192.168.12.29:1039建立TCP 192.168.12.28:3389

也就是说,只要tslog.bat文件运行,所有连接到3389端口的IP将被记录。那么我们怎样才能自动运行批处理文件呢我们知道,终端服务允许我们在终端服务配置自定义启动程序,我们覆盖用户的登录脚本设置并指定打开脚本的tslog.bat用户登录,以便用户登录必须执行脚本,因为默认的脚本(相当于壳)是Explorer(资源管理器),所以我和探险家startexplorer命令开始tslog.bat最后一排,如果不是命令行,是没有办法进入桌面用户!当然,如果只需要给用户一个特定的shell:

例如,cmd.exe或word.exe,你也可以用任何壳更换启动浏览器。这个脚本也可以有其他的方式,作为一个系统管理员,你可以使用你的想象力的自由,自己的资源,例如免费使用,写一个脚本把每个IP用户登录到你的邮箱里重要的也是好方法。在正常情况下,一般的用户终端服务没有权限设置,所以他不会知道你的IP审计日志,只要tslog.bat文件和一个隐藏的目录tslog.log文件是足够的,但请注意,这只是一个简单的登录终端服务策略,并没有太多安全措施和监督机制,如果有更高的安全要求,这是需要程序夯实完成购买或入侵检测。

相关文章

对FTP服务程序的不安全因素的研究

对FTP服务程序的不安全因素的研究

服务程序,不安全因素,电脑软件,FTP,FTP(文件传输协议)是一个UNIX很老的协议,从一开始就一直使用,因为FTP本身不仅可以提供更多的用户下载功能,还允许用户上传文件,在不断的发展,你也可以使用FTP远程命令执行,因为FTP一般需要帐户和密码,和不同的帐户…

在Win2003中配置NAT服务器

在Win2003中配置NAT服务器

服务器,配置,电脑软件,NAT,概述 本文介绍了如何配置网络地址转换(NAT)通过使用Windows Server 2003服务器,Windows Server 2003的路由和远程访问服务包括NAT路由协议。如果NAT路由协议安装和配置在运行路由和远程访问服务器,使用专用网络协议…

我有一个加密方法,我欢迎你改正它。

我有一个加密方法,我欢迎你改正它。

加密,方法,欢迎你,我有一个,电脑软件,如果请求()=1 暗淡的串,StringLen,我,stringnumtmp,stringrndnum,resultstring,J 字符串=请求( )密码字符串 开始计算字符数据 stringlen = Len(字符串) 我stringlen = 1 stringnumtmp = ASC(mid(字符串,I,1)) 随机化 …

计算机开启了第一级战备状态!坦克世

计算机开启了第一级战备状态!坦克世

状态,战备,炮弹,大炮,坦克,世界上唯一的网络战争游戏坦克世界将在没有审查的情况下今天开放!作为一个mmotps在线游戏,坦克世界不仅以其独特的主题和坦克的坦克和精彩的坦克战造型逼真的美德,成为最受欢迎的游戏玩家的游戏大作的关注,游戏的画面…

MSN服务暂停黑客攻击

MSN服务暂停黑客攻击

服务,黑客攻击,暂停,电脑软件,MSN,目前,即时通讯客户端和服务器的漏洞被发现。星期一,W32。可笑,蠕虫造成了肆虐的攻击在Windows为基础的即时通讯软件。同时,微软的MSN Messenger服务被迫暂停超过半天。许多网站想知道蠕虫背后。 微软已经正式…

最新新闻办公室2010SP1版测试版下

最新新闻办公室2010SP1版测试版下

下载,测试版,最新新闻,办公室,电脑软件,昨天,微软证实,邀请测试者可以下载Office SP1的第一个测试版的连接下载中心,版本号是建立14.0.6011.1000,而且规模294mb。 U3000 U3000 Office 2010 SP1包含bug修复和补丁更新以来,Office 2010的发布,并…

2012中国迎来了5亿个互联网时代

2012中国迎来了5亿个互联网时代

互联网时代,中国,迎来了,电脑软件,国家互联网信息办公室2012日披露,数据显示,中国将正式进入5亿个互联网用户时代。 最热的移动互联网,看舆论监督和阳光游行,微博实名认证试图移动……在众多喧嚣背后,明年,在巨大的围观下,5亿网民将加入更加良性…

检查系统日志发现Windows7电脑死机

检查系统日志发现Windows7电脑死机

检查,发现,系统日志,死机,电脑软件,windows7系统会记录你的每一个错误的操作系统,你知道电脑死机或卡的故障关闭机器。看到Windows7系统日志是单击开始-控制面板-系统和安全-管理工具-查看事件日志}打开事件查看器。 在Windows日志,你可以看…

巧用智能ABC输入数学符号

巧用智能ABC输入数学符号

输入,符号智能,智能,巧用,数学,利用智能ABC中提供的自定义短语函数,我们可以将常用的数学符号定义为新词来提高输入速度。 具体方法是启动智能ABC,右键单击该提示栏最左边的图标,在弹出菜单中选择新的词语,在新词语框中输入所需的文字,在外码输…

在C的构造函数和析构函数#使用

在C的构造函数和析构函数#使用

析构函数,构造函数,电脑软件,摘要:构造函数和析构函数是一种出现在一类更简单的功能,但总有在实际应用过程中的一些意外的操作失误,本文将系统地介绍构造函数和析构函数和C #应用原理,以及在使用过程中应注意的事项。 关键词:构造函数;析构函数;…

Opera11.10测试版将于3月18日正式

Opera11.10测试版将于3月18日正式

将于,测试版,正式发布,电脑软件,Opera 11.10快照2047发布已经恢复了大部分的问题,这是非常接近的Opera 11.10 beta版,将于明天公布,但这是一个开发版,不推荐普通用户,仅用于测试。有许多已知的问题,在这个版本中,这可能会导致崩溃或数据损失,甚至不…

谷歌计划对YouTube进行更改

谷歌计划对YouTube进行更改

计划,电脑软件,YouTube,谷歌计划对YouTube进行更改 到目前为止,谷歌的视频分享网站YouTube已经免费,向广告商提供这项服务,但每天要为谷歌烧钱数百万美元,所以富人感觉不太好,所以谷歌计划在YouTube上建立支付系统。 谷歌首席执行官Eric Schmi…