源码论坛,商业源码下载,尽在锦尚中国商业源码论坛

标题: Windows2003服务器入侵前兆检测 [打印本页]

作者: 宜昌天信网络 时间: 2013-12-17 11:21
标题: Windows2003服务器入侵前兆检测
在日常服务器使用过程之中，任何一个站长都无法避免遭到各种各样的恶意入侵。与此同时，如何正确的对可能造成破坏的入侵行为进行判断和处理就显得尤为重要。本文我们(天信网络数据中心，简称：天信网络)就常见的windows服务器系统会出现的各种入侵的前兆做出一个概述，以便做出相应的预防处理。

第一类 WWW入侵
对于常见的线上的开放服务器，www的web服务是最常见的服务之一。而基于80端口的入侵也是最普遍的。很多热衷此事的爱好者都有编写相应的script web脚本来进行入侵。
由于80端口属于开放端口，面对的客户量相当大，同时入侵的技术含量相对也比较低。所以导致此类型的入侵是所有类别里面最多的也是最头疼的。

虽然80端口入侵和扫描很多，但是80端口的日志记录也非常容易。IIS本身提供了相当强大的日志记录功能。在这里我们就常见的扫描和入侵类似日志做出一个举例、

2012-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..?../..?../..?../windows/system32/cmd.exe /c+dir 404 -

需要注意的就是类似/script/..?../..?../..?../windows/system32/cmd.exe的内容
如果正常用户访问，是不会发出这样的访问请求的，这类请求是利用iis的unicode漏洞扫描的结果。而日志行结尾的404表示此漏洞不存在。但是如果出现了这类日志，就表明服务器是在被人扫描漏洞，这就是入侵前兆。

再例如
2012-03-10 06:17:50 192.168.1.2 - 192.168.1.1 80 HEAD / - 400 -
这是一个使用HEAD请求来扫描WWW服务器软件类型的记录，攻击者能够通过了解WWW使用的软件来选择扫描工具扫描的范围。
IIS通常都能够记录下所有访问者的请求。包括正常的和非正常的访问请求，如果网站流量很大，就会导致日志文件过大无法读取
此时我们可以通过查找特定关键字来确定服务器是否存在相应的恶意扫描。并建立一个敏感字符串列表，比如“HEAD”、“cmd.exe”(Unicode漏洞)、“.ida”“.idq”(IDA/IDQ远程溢出漏洞)、“.printer”(Printer远程溢出漏洞)等等。

第二类 FTP灯服务入侵
根据前面对于WWW服务入侵前兆的检测，我们可以照样来检测FTP或者其他服务(POP、SMTP等)。以FTP服务来举例，对于FTP服务，通常最初的扫描或者入侵必然是进行帐号的猜解。对于IIS提供的FTP服务，也跟WWW服务一样提供了详尽的日志记录(如果使用其他的FTP服务软件，它们也应该有相应的日志记录)。

我们来分析这些日志：

2012-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331

2012-03-10 06:41:19 192.168.21.130 - [36]PASS - 530

这表示用户名administrator请求登录，但是登录失败了。当在日志中出现大量的这些登录失败的记录，说明有人企图进行FTP的帐号猜解。这就是从FTP服务来入侵的入侵前兆。

分析这些日志的方法也跟前面分析WWW服务的日志方法类似。因为FTP并不能进行帐号的枚举，所以，如果发现有攻击者猜测的用户名正好和你使用的帐号一致，那么就需要修改帐号并加强密码长度。

三、系统帐号密码猜解入侵的前兆检测

对于Windows 2003服务器来说，一个很大的威胁也来自系统帐号密码的猜解，因为如果配置不佳的服务器允许进行空会话的建立，这样，攻击者能够进行远程的帐号枚举等，然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立，攻击者同样能够进行系统帐号的猜测，因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名。那些黑客工具，比如“流光”等，就可以进行这样的密码猜测，通过常用密码或者进行密码穷举来无限制系统帐号的密码。

要检测通过系统帐号密码猜解的入侵，需要设置服务器安全策略，在审核策略中进行记录，需要审核记录的基本事件包括：审核登录事件、审核帐户登录事件、帐户管理事件。审核这些事件的“成功、失败”，然后我们可以从事件查看器中的安全日志查看这些审核记录。

比如：如果我们在安全日志中发现了很多失败审核，就说明有人正在进行系统帐号的猜解。我们查看其中一条的详细内容，可以看到：

登录失败：

原因：用户名未知或密码错误

用户名：administrator

域：ALARM

登录类型：3

登录过程：NtLmSsp

身份验证程序包：MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

工作站名：REFDOM

进行密码猜解的攻击者打算猜测系统帐号administrator的密码，攻击者的来源就是工作站名：REFDOM，这里记录是攻击者的计算机名而不是他的IP地址。

当我们发现有人打算进行密码猜解的时候，就需要对相应的配置和策略进行修改。比如：对IP地址进行限制、修改被猜开源码的帐号的帐号名、加强帐号密码的长度等等来应对这样的入侵。

四、终端服务入侵的前兆检测

Windows2003 提供终端控制服务(Telminal Service)，它是一个基于远程桌面协议(RDP)的工具，方便管理员进行远程控制，是一个非常好的远程控制工具。终端服务使用的界面化控制让管理员使用起来非常轻松而且方便，速度也非常快，这一样也让攻击者一样方便。而且以前终端服务存在输入法漏洞，可以绕过安全检查获得系统权限。对于打开终端服务的服务器来说，很多攻击者喜欢远程连接，看看服务器的样子(即使他们根本没有帐号)。

对终端服务进行的入侵一般在系统帐号的猜解之后，攻击者利用猜解得到的帐号进行远程终端连接和登录。

在管理工具中打开远程控制服务配置，点击"连接"，右击你想配置的RDP服务(比如 RDP-TCP(Microsoft RDP 5.0)，选中书签"权限"，点击"高级"，加入一个Everyone组，代表所有的用户，然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败，这个审核是记录在安全日志中的，可以从"管理工具"->"日志查看器"中查看。但是这个日志就象前面的系统密码猜解那样，记录的是客户端机器名而不是客户端的IP地址。我们可以做一个简单的批处理bat文件(文件名为TerminalLog.bat)，用它来记录客户端的IP，文件内容是：

time /t >>Terminal.log

netstat -n -p tcp | find ":3389">>Terminal.log

start Explorer

端服务使用的端口是TCP 3389，文件第一行是记录用户登录的时间，并把这个时间记入文件Terminal.log中作为日志的时间字段;第二行是记录用户的IP地址，使用netstat来显示当前网络连接状况的命令，并把含有3389端口的记录到日志文件中去。这样就能够记录下对方建立3389连接的IP地址了。

要设置这个程序运行，可以在终端服务配置中，登录脚本设置指定TerminalLOG.bat作为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本是Explorer(资源管理器)，所以在Terminal.bat的最后一行加上了启动Explorer的命令start Explorer，如果不加这一行命令，用户是没有办法进入桌面的。当然，可以把这个脚本写得更加强大，但是请把日志记录文件放置到安全的目录中去。

通过Terminal.log文件记录的内容，配合安全日志，我们就能够发现通过终端服务的入侵事件或者前兆了。

对于Windows2003服务器来说，上面四种入侵是最常见的，也占入侵Windows2003事件的绝大多数。从上面的分析，我们能够及时地发现这些入侵的前兆，根据这些前兆发现攻击者的攻击出发点，然后采取相应的安全措施，以杜绝攻击者入侵。

我们也可以从上面分析认识到，服务器的安全配置中各种日志记录和事件审核的重要性。这些日志文件在被入侵后是攻击者的重要目标，他们会删除和修改记录，以便抹掉他们的入侵足迹。因此，对于各种日志文件，我们更应该好好隐藏并设置权限等保护起来。同时，仅仅记录日志而不经常性地查看和分析，那么所有的工作就等于白做了。

在安全维护中，系统管理员应该保持警惕，并熟悉黑客使用的入侵手段，做好入侵前兆的检测和分析，这样才能未雨绸缪，阻止入侵事件的发生。

作者: 残火太刀 时间: 2013-12-17 11:40
看了楼主的帖子后，我终于忍不住回帖了，在网络上我并不经常回帖，可是楼主在
这个帖子里面的表现之优秀，让我觉得不能错过这个机会。

作者: 宜昌天信网络 时间: 2013-12-20 16:25
嘿嘿，我们天信网络不仅是服务器提供商，还可以做各做攻击防护

作者: 逆流灬小鱼 时间: 2013-12-20 16:29
http://www.tjganghai.com/zbz/

欢迎光临源码论坛,商业源码下载,尽在锦尚中国商业源码论坛 (https://bbs.52jscn.com/)