九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

前面幾期報紙介紹了Win2000 Server的安全配置，經(jīng)過精心配置的Win2000服務(wù)器可以防御90%以上的入侵和滲透，但是，就象上一章結(jié)束時所提到的：系統(tǒng)安全是一個連續(xù)的過程，隨著新漏洞的出現(xiàn)和服務(wù)器應(yīng)用的變化，系統(tǒng)的安全狀況也在不斷變化著；同時由于攻防是矛盾的統(tǒng)一體，道消魔長和魔消道長也在不斷的轉(zhuǎn)換中，因此，再高明的系統(tǒng)管理員也不能保證一臺正在提供服務(wù)的服務(wù)器長時間絕對不被入侵。

　　 所以，安全配置服務(wù)器并不是安全工作的結(jié)束，相反卻是漫長乏味的安全工作的開始，本文我們將初步探討Win2000服務(wù)器入侵檢測的初步技巧，希望能幫助您長期維護服務(wù)器的安全。

　　 入侵的檢測主要還是根據(jù)應(yīng)用來進行，提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測分析系統(tǒng)來進行保護，對于一般的主機來說，主要應(yīng)該注意以下幾個方面：

　　 1.基于80端口入侵的檢測

　　 WWW服務(wù)大概是最常見的服務(wù)之一了，而且由于這個服務(wù)面對廣大用戶，服務(wù)的流量和復(fù)雜度都很高，所以針對這個服務(wù)的漏洞和入侵技巧也最多。對于NT來說，IIS一直是系統(tǒng)管理員比較頭疼的一部分，不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下，一般是按24小時滾動的，在IIS管理器中可以對它進行詳細(xì)的配置。

　　 我們假設(shè)一臺WEB服務(wù)器，開放了WWW服務(wù)，你是這臺服務(wù)器的系統(tǒng)管理員，已經(jīng)小心地配置了IIS，使用W3C擴展的日志格式，并至少記錄了時間（Time）、客戶端IP（Client IP）、方法（Method）、URI資源（URI Stem）、URI查詢（URI Query），協(xié)議狀態(tài)（Protocol Status），我們用最近比較流行的Unicode漏洞來進行分析：打開IE的窗口，在地址欄輸入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir默認(rèn)的情況下你可以看到目錄列表，讓我們來看看IIS的日志都記錄了些什么，打開Ex010318.log（Ex代表W3C擴展格式，后面的一串?dāng)?shù)字代表日志的記錄日期）：07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面這行日志表示在格林威治時間07:42:58（就是北京時間23:42:58），有一個家伙（入侵者）從127.0.0.1的IP在你的機器上利用Unicode漏洞（%c1%1c被解碼為“\”，實際的情況會因為Windows版本的不同而有略微的差別）運行了cmd.exe，參數(shù)是/c dir，運行結(jié)果成功（HTTP 200代表正確返回）。

　　 大多數(shù)情況下，IIS的日志會忠實地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊，這個我們以后再討論）。但是，IIS的日志動輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日志分析軟件，用任何語言編寫一個日志分析軟件（其實就是文本過濾器）都非常簡單。

　　 告訴大家一個簡單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的命令：find “Global.asa” ex010318.log /i。這個命令使用的是NT自帶的find.exe工具，可以輕松的從文本文件中找到你想過濾的字符串，“Global.asa”是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔，所以關(guān)于這個命令的其他參數(shù)以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。

　　 無論是基于日志分析軟件或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞（比如“+.htr”）以及未來將要出現(xiàn)的漏洞可能會調(diào)用的資源（比如Global.asa或者cmd.exe），通過過濾這張不斷更新的字符串表，一定可以盡早了解入侵者的行動。

　　 需要提醒的是，使用任何日志分析軟件都會占用一定的系統(tǒng)資源，因此，對于IIS日志分析這樣低優(yōu)先級的任務(wù)，放在夜里空閑時自動執(zhí)行會比較合適，如果再寫一段腳本把過濾后的可疑文本發(fā)送給系統(tǒng)管理員，那就更加完美了。同時，如果敏感字符串表較大，過濾策略復(fù)雜，我建議還是用C寫一個專用程序會比較合算。

　　 2.基于安全日志的檢測

　　 通過基于IIS日志的入侵監(jiān)測，我們能提前知道窺伺者的行蹤（如果你處理失當(dāng)，窺伺者隨時會變成入侵者），但是IIS日志不是萬能的，它在某種情況下甚至不能記錄來自80端口的入侵，根據(jù)我對IIS日志系統(tǒng)的分析，IIS只有在一個請求完成后才會寫入日志，換言之，如果一個請求中途失敗，日志文件中是不會有它的蹤影的（這里的中途失敗并不是指發(fā)生HTTP400錯誤這樣的情況，而是從TCP層上沒有完成HTTP請求，例如在POST大量數(shù)據(jù)時異常中斷），對于入侵者來說，就有可能繞過日志系統(tǒng)完成大量的活動。

　　 而且，對于非80 Only的主機，入侵者也可以從其它的服務(wù)進入服務(wù)器，因此，建立一套完整的安全監(jiān)測系統(tǒng)是非常必要的。

　　 Win2000自帶了相當(dāng)強大的安全日志系統(tǒng)，從用戶登錄到特權(quán)的使用都有非常詳細(xì)的記錄，可惜的是，默認(rèn)安裝下安全審核是關(guān)閉的，以至于一些主機被黑后根本沒法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核，一般來說，登錄事件與賬戶管理是我們最關(guān)心的事件，同時打開成功和失敗審核非常必要，其他的審核也要打開失敗審核，這樣可以使得入侵者步步維艱，一不小心就會露出馬腳。僅僅打開安全審核并沒有完全解決問題，如果沒有很好的配置安全日志的大小及覆蓋方式，一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現(xiàn)。

　　 除了安全日志，系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權(quán)限，那么他一定會去清除痕跡的），在系統(tǒng)和應(yīng)用程序日志中也會留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。

　　　　3.文件訪問日志與關(guān)鍵文件保護

　　　　除了系統(tǒng)默認(rèn)的安全審核外，對于關(guān)鍵的文件，我們還要加設(shè)文件訪問日志，記錄對它們的訪問。

　　　　文件訪問有很多的選項：訪問、修改、執(zhí)行、新建、屬性更改……一般來說，關(guān)注訪問和修改就能起到很大的監(jiān)視作用。

　　　　例如，如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建，甚至部分重要文件的訪問（例如cmd.exe，net.exe，system32目錄），那么，入侵者就很難在不引起我們注意的情況下安放后門。要注意的是，監(jiān)視的關(guān)鍵文件和項目不能太多，否則不僅增加系統(tǒng)負(fù)擔(dān)，還會擾亂日常的日志監(jiān)測工作。關(guān)鍵文件不僅僅指的是系統(tǒng)文件，還包括有可能對系統(tǒng)管理員和其他用戶構(gòu)成危害的任何文件，例如系統(tǒng)管理員的配置、桌面文件等等，這些都是有可能被用來竊取系統(tǒng)管理員資料和密碼的。

　　　　4.進程監(jiān)控

　　　　進程監(jiān)控技術(shù)是追蹤木馬后門的另一個有力武器，90%以上的木馬和后門是以進程的形式存在的。作為系統(tǒng)管理員，了解服務(wù)器上運行的每個進程是職責(zé)之一（否則不要說安全，連系統(tǒng)優(yōu)化都沒有辦法做）。做一份每臺服務(wù)器運行進程的列表非常必要，能幫助管理員一眼就發(fā)現(xiàn)入侵進程，異常的用戶進程或者異常的資源占用都有可能是非法進程。除了進程外，dll也是危險的東西，例如把原本是exe類型的木馬改寫為dll后，使用rundll32運行就比較具有迷惑性。

　　　　5.注冊表校驗

　　　　一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。一般來說，如果一個入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個鍵值（比如Run、Runonce等等），查找起來是相對容易的，但是對于可以自己編寫或改寫木馬的人來說，注冊表的任何地方都可以藏身，靠手工查找就沒有可能了。應(yīng)對的方法是監(jiān)控注冊表的任何改動，這樣改寫注冊表的木馬就沒有辦法遁形了。監(jiān)控注冊表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能，一個監(jiān)控軟件加上定期對注冊表進行備份，萬一注冊表被非授權(quán)修改，系統(tǒng)管理員也能在最短的時間內(nèi)恢復(fù)。

　　　　6.端口監(jiān)控

　　　　雖然說不使用端口的木馬已經(jīng)出現(xiàn)，但是大部分的后門和木馬還是使用TCP連接的，監(jiān)控端口的狀況對于由于種種原因不能封鎖端口的主機來說就是非常重要的了。對于系統(tǒng)管理員來說，了解自己服務(wù)器上開放的端口甚至比對進程的監(jiān)控更加重要，常常使用netstat查看服務(wù)器的端口狀況是一個良好的習(xí)慣，但是并不能24小時這樣做，而且NT的安全日志有一個缺陷，喜歡記錄機器名而不是IP，如果你既沒有防火墻又沒有入侵檢測軟件，倒是可以用腳本來進行IP日志記錄的，看著這個命令：netstat -n -p tcp 10>>Netstat.log，這個命令每10秒鐘自動查看一次TCP的連接狀況，基于這個命令我們做一個Netlog.bat文件：time /t>>Netstat.log Netstat -n -p tcp 10>>Netstat.log。這個腳本將會自動記錄時間和TCP連接狀態(tài)，需要注意的是：如果網(wǎng)站訪問量比較大，這樣的操作是需要消耗一定的CPU時間的，而且日志文件將越來越大，所以請慎之又慎。

　　　　一旦發(fā)現(xiàn)異常的端口，可以使用特殊的程序來關(guān)聯(lián)端口、可執(zhí)行文件和進程（如inzider就有這樣的功能，它可以發(fā)現(xiàn)服務(wù)器監(jiān)聽的端口并找出與該端口關(guān)聯(lián)的文件，inzider可以從http://www.nttoolbox.com/下載），這樣無論是使用TCP還是UDP的木馬都無處藏身。

　　　　7.終端服務(wù)的日志監(jiān)控

　　　　單獨將終端服務(wù)（Terminal Service）的日志監(jiān)控分列出來是有原因的，微軟Win2000服務(wù)器版中自帶的終端服務(wù)Terminal Service是一個基于遠(yuǎn)程桌面協(xié)議（RDP）的工具，它的速度非?？?，也很穩(wěn)定，可以成為一個很好的遠(yuǎn)程管理軟件，但是因為這個軟件功能強大而且只受到密碼的保護，所以也非常的危險，一旦入侵者擁有了管理員密碼，就能夠像本機一樣操作遠(yuǎn)程服務(wù)器。雖然很多人都在使用終端服務(wù)來進行遠(yuǎn)程管理，但是，并不是人人都知道如何對終端服務(wù)進行審核。大多數(shù)的終端服務(wù)器上并沒有打開終端登錄的日志。其實打開日志審核是很容易的，在管理工具中打開遠(yuǎn)程控制服務(wù)配置（Terminal Service Configration），點擊“連接”，右擊你想配置的RDP服務(wù)（比如RDP-TCP Microsoft RDP 5.0），選中書簽“權(quán)限”，點擊左下角的“高級”，看見上面那個“審核”了么？我們來加入一個Everyone組，這代表所有的用戶，然后審核它的“連接”、“斷開”、“注銷”的成功和“登錄”的成功和失敗就足夠了。審核太多了反而不好，這個審核是記錄在安全日志中的，可以從“管理工具”→“日志查看器”中查看?，F(xiàn)在什么人什么時候登錄我都一清二楚了，可是美中不足的是：這個破爛玩藝居然不記錄客戶端的IP（只能查看在線用戶的IP），而是華而不實地記錄什么機器名，倒！要是別人起個PIG的機器名你只好受他的嘲弄了，不知道微軟是怎么想的，看來還是不能完全依賴微軟呀，我們自己來吧，寫個程序，一切搞定，你會C么？不會？VB呢？也不會？Delphi？……什么？你什么編程語言都不會？我倒，畢竟系統(tǒng)管理員不是程序員呀，別急別急，我給你想辦法，我們來建立一個bat文件，叫做TSLog.bat。這個文件用來記錄登錄者的IP，內(nèi)容如下：time /t >>TSLog.log netstat -n -p tcp ｜ find “:3389”>>TSLog.logstart Explorer。我來解釋一下這個文件的含義：第一行是記錄用戶登錄的時間，time /t的意思是直接返回系統(tǒng)時間（如果不加/t，系統(tǒng)會等待你輸入新的時間），然后我們用追加符號“>>”把這個時間記入TSLog.log作為日志的時間字段；第二行是記錄用戶的IP地址，netstat是用來顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令，-n表示顯示IP和端口而不是域名、協(xié)議，-ptcp是只顯示tcp協(xié)議，然后我們用管道符號“｜”把這個命令的結(jié)果輸出給find命令，從輸出結(jié)果中查找包含“3389”的行（這就是我們要的客戶的IP所在的行，如果你更改了終端服務(wù)的端口，這個數(shù)值也要作相應(yīng)的更改）。最后我們同樣把這個結(jié)果重定向到日志文件TSLog.log中去，于是在TSLog.log文件中，記錄格式如下：

　　　　22:40 TCP　192.168.12.28:3389

　　　　192.168.10.123:4903　ESTABLISHED 22:54 TCP　192.168.12.28:338

　　　　192.168.12.29:1039　ESTABLISHED也就是說只要這個TSLog.bat文件一運行，所有連在3389端口上的IP都會被記錄，那么如何讓這個批處理文件自動運行呢？我們知道，終端服務(wù)允許我們?yōu)橛脩糇远x起始的程序，在終端服務(wù)配置中，我們覆蓋用戶的登錄腳本設(shè)置并指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄后都必須執(zhí)行這個腳本，因為默認(rèn)的腳本（相當(dāng)于shell環(huán)境）是Explorer（資源管理器），所以我在TSLog.bat的最后一行加上了啟動Explorer的命令start Explorer。如果不加這一行命令，用戶是沒有辦法進入桌面的！當(dāng)然，如果你只需要給用戶特定的shell，例如:cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法，作為系統(tǒng)管理員，你完全可以自由發(fā)揮你的想象力、自由利用自己的資源，例如，寫一個腳本把每個登錄用戶的IP發(fā)送到自己的信箱，對于重要的服務(wù)器也是一個很好的方法。正常情況下一般的用戶沒有查看終端服務(wù)設(shè)置的權(quán)限，所以他不會知道你對登錄進行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了。不過，需要注意的是這只是一個簡單的終端服務(wù)日志策略，并沒有太多的安全保障措施和權(quán)限機制。如果服務(wù)器有更高的安全要求，那還是需要通過編程或購買入侵監(jiān)測軟件來完成的。

　　　　8.陷阱技術(shù)

　　　　早期的陷阱技術(shù)只是一個偽裝的端口服務(wù)用來監(jiān)測掃描，隨著“矛”和“盾”的不斷升級，現(xiàn)在的陷阱服務(wù)或者陷阱主機已經(jīng)越來越完善，越來越像真正的服務(wù)，不僅能截獲半開式掃描，還能偽裝服務(wù)器一端的回應(yīng)并記錄入侵者的行為，從而幫助判斷入侵者的身份。我本人對于陷阱技術(shù)并不是非常感興趣，一來從技術(shù)人員角度來說，低調(diào)行事更符合安全的原則；二來陷阱主機反而成為入侵者跳板的情況并不僅僅出現(xiàn)在小說中，在現(xiàn)實生活中也屢見不鮮。如果架設(shè)了陷阱反而被用來入侵，那真是偷雞不成了蝕把米。記得CoolFire說過一句話，可以用來作為對陷阱技術(shù)介紹的一個總結(jié)：在不了解情況時，不要隨便進入別人的系統(tǒng)，因為你永遠(yuǎn)不能事先知道系統(tǒng)管理員是真的白癡或者是偽裝成白癡的天才……

　　　　入侵監(jiān)測的初步介紹就到這里，在實際運用中，系統(tǒng)管理員對基礎(chǔ)知識掌握的情況直接關(guān)系到他的安全敏感度，只有身經(jīng)百戰(zhàn)知識豐富，仔細(xì)小心的系統(tǒng)管理員才能從一點點的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子，未雨綢繆，阻止入侵的行動。