|
一、利用Windows自帶的防火墻日志檢測(cè)入侵
下面是一條防火墻日志記錄
2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980
2005-01-1300:35:04:表示記錄的日期時(shí)間
OPEN:表示打開(kāi)連接�;如果此處為Close表示關(guān)閉連接
TCP:表示使用的協(xié)議是Tcp
61.145.129.133:表示本地的IP
64.233.189.104:表示遠(yuǎn)程的IP
4959:表示本地的端口
80:表示遠(yuǎn)程的端口。注:如果此處的端口為非80�����、21等常用端口那你就要注意了�����。
每一條Open表示的記錄對(duì)應(yīng)的有一條CLOSE記錄���,比較兩條記錄可以計(jì)算連接的時(shí)間。
注意�,要使用該項(xiàng),需要在Windows自帶的防火墻的安全日志選項(xiàng)中勾選“記錄成功的連接”選項(xiàng)��。
二����、通過(guò)IIS日志檢測(cè)入侵攻擊
1、認(rèn)識(shí)IIS日志
IIS日志默認(rèn)存放在System32\LogFiles目錄下�,使用W3C擴(kuò)展格式��。下面我們通過(guò)一條日志記錄來(lái)認(rèn)識(shí)它的格式
2005-01-0316:44:57218.17.90.60GET/Default.aspx-80
-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000
2005-01-0316:44:57:是表示記錄的時(shí)間���;
218.17.90.60:表示主機(jī)的IP地址;
GET:表示獲取網(wǎng)頁(yè)的方法
/Default.aspx:表示瀏覽的網(wǎng)頁(yè)的名稱(chēng)���,如果此外的內(nèi)容不是你網(wǎng)站網(wǎng)頁(yè)的名稱(chēng)�����,那就表示可能有人在用注入
式攻擊對(duì)你的網(wǎng)站進(jìn)行測(cè)試��。如:“/msadc/..蠟..蠟..蠟../winnt/system32/cmd.exe/c+dir”這段格式的
文字出現(xiàn)在瀏覽的網(wǎng)頁(yè)后面就表示有攻擊者嘗試能否進(jìn)入到你的系統(tǒng)目錄下����。
-80:表示服務(wù)器的端口����。
-218.17.90.60:表示客戶(hù)機(jī)的IP地址。如果在某一時(shí)間或不同時(shí)間都有大量的同一IP對(duì)網(wǎng)站的連接那你
就要注意了��。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322):表示用戶(hù)的瀏覽器的版本
操作系統(tǒng)的版本信息
200:表示瀏覽成功�,如果此處為304表示重定向。如果此處為404則表示客戶(hù)端錯(cuò)誤未找到網(wǎng)頁(yè),如果服務(wù)器沒(méi)
有問(wèn)題但出現(xiàn)大量的404錯(cuò)誤也表示可能有人在用注入式攻擊對(duì)你的網(wǎng)站進(jìn)行測(cè)試���。
2����、檢測(cè)IIS日志的方法
明白了IIS日志的格式,就可以去尋找攻擊者的行蹤了����。但是人工檢查每一條數(shù)據(jù)幾乎是不可能的,所以
我們可以利用Windows本身提供了一個(gè)命令findstr��。下面以尋找05年1月1日日志中包含CMD字段為例演示
一下它的用法����。IIS日志路徑已設(shè)為D\w3c
Cmd提示符下輸入:findstr"cmd"d\w3c\ex050101.log回車(chē)。怎么同一個(gè)IP出現(xiàn)了很多�����,那你可要注意了��!
下面是我寫(xiě)的幾個(gè)敏感字符�,僅供參考�����,你可以根據(jù)自己系統(tǒng)、網(wǎng)頁(yè)定制自己的敏感字符���,當(dāng)然如果你根據(jù)
這些字符作一個(gè)批處理命令就更方便了�。
cmd��、'���、\\���、..、;��、and�����、webconfig�����、global�����、
如果你感覺(jué)findstr功能不夠直觀強(qiáng)大,你可以AutoScanIISLogFilesV1.4工具���。它使用圖形化界面
一次可以檢測(cè)多個(gè)文件��。下載地址:http://www./Software/View-Software-1585.html
如果你感覺(jué)這些IIS日志中的信息記錄還不夠多�,那么你可以做一個(gè)隱藏網(wǎng)頁(yè)����,凡是登陸到網(wǎng)站上都會(huì)先定向到
該網(wǎng)頁(yè),然后你可以在該網(wǎng)頁(yè)中添加代碼���,獲取用戶(hù)的IP���、操作系統(tǒng)、計(jì)算機(jī)名等信息�。并將其輸入到數(shù)據(jù)庫(kù)
中,這樣即使一個(gè)攻擊者使用動(dòng)態(tài)的IP只要他不換系統(tǒng)�,即使刪除了IIS日志,你也可以把他找出來(lái)�。
三�����、通過(guò)查看安全日志檢測(cè)是否有成功的入侵
如果你你啟用了登陸事件、策略更改���、賬戶(hù)登陸�、系統(tǒng)事件的成功失敗的審核����,那么任何成功的入侵都將
在安全日志中留下痕跡
推薦的作法:
1、建議每天最少檢查一次安全日志���。
推薦重點(diǎn)檢查的ID事件
529:登錄失敗�,試圖使用未知用戶(hù)名或帶有錯(cuò)誤密碼的已知用戶(hù)名進(jìn)行登錄����。
528:用戶(hù)成功登錄到計(jì)算機(jī)上。
539:登錄失?���。旱卿涃~號(hào)在登錄嘗試時(shí)被鎖定。此事件表明有人發(fā)動(dòng)密碼攻擊但未成功�����,因而導(dǎo)致賬戶(hù)鎖定
682:用戶(hù)重新連接到一個(gè)已經(jīng)斷開(kāi)連接的終端服務(wù)器會(huì)話(huà)上。終端服務(wù)攻擊
683:用戶(hù)在沒(méi)有注銷(xiāo)的情況下與終端服務(wù)器會(huì)話(huà)斷開(kāi)連接�。終端服務(wù)攻擊
624:一個(gè)用戶(hù)賬號(hào)被創(chuàng)建。
625:更改了用戶(hù)賬戶(hù)類(lèi)型
626:?jiǎn)⒂昧擞脩?hù)賬戶(hù)
629:禁用了用戶(hù)賬戶(hù)
630:刪除了用戶(hù)賬戶(hù)
以上5個(gè)事件可能是一個(gè)攻擊者試圖通過(guò)禁用或刪除發(fā)動(dòng)攻擊時(shí)使用的賬戶(hù)來(lái)掩蓋他們的蹤跡��。
577:用戶(hù)試圖執(zhí)行受到權(quán)限保護(hù)的系統(tǒng)服務(wù)操作���。
578:在已經(jīng)處于打開(kāi)狀態(tài)的受保護(hù)對(duì)象句柄上使用權(quán)限���。
577、578事件中詳細(xì)信息中特權(quán)說(shuō)明
SeTcbPrivilege特權(quán):此事件可以表明一個(gè)用戶(hù)通過(guò)充當(dāng)操作系統(tǒng)的一部分來(lái)試圖提升安全權(quán)限�����,如一個(gè)用戶(hù)
試圖將其賬戶(hù)添加到管理員組就會(huì)使用此特權(quán)
SeSystemTimePrivilege特權(quán):更改系統(tǒng)時(shí)間����。此事件可表明有一個(gè)用戶(hù)嘗試更改系統(tǒng)時(shí)間
SeRemoteShutDownPrivilege:從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)閉
SeloadDriverPrivilege:加載或卸載驅(qū)動(dòng)程序
SeSecurityPrivilege:管理審計(jì)和安全日志。在清除事件日志或向安全日志寫(xiě)入有關(guān)特權(quán)使用的事件是發(fā)生
SeShutDownPrivilege:關(guān)閉系統(tǒng)
SeTakeOwnershipPrivilege:取得文件或其他對(duì)象的所有權(quán).此事件可表明有一個(gè)攻擊者正在通過(guò)取得一個(gè)
對(duì)象的所有權(quán)來(lái)嘗試?yán)@過(guò)當(dāng)前的安全設(shè)置
517:日志事件被清除或修改�����。此事件可以表明一個(gè)攻擊者企圖通過(guò)修改或刪除日志文件來(lái)掩蓋他們的蹤跡
612:更改了審計(jì)策略����。此事件可以表明一個(gè)攻擊者企圖通過(guò)修改審計(jì)策略來(lái)掩蓋他們的蹤跡
如為了掩蓋刪除日志文件的蹤跡他可能先關(guān)閉系統(tǒng)事件的審核��。
2、通過(guò)篩選器來(lái)查看重要性事件
方法:點(diǎn)擊事件查看器窗口中的查看菜單�����,點(diǎn)擊篩選�,點(diǎn)擊篩選器,定義自己的篩選選項(xiàng)�����,確定即可���。
3����、在查看完成之后備份事件
方法:點(diǎn)擊事件查看器窗口中的操作菜單����,點(diǎn)擊導(dǎo)出列表,選擇保存路徑和文件名����,如果保存類(lèi)型
選擇了“文本文件(制表符分隔)”���,將會(huì)保存為文本文件。如果保存類(lèi)型
選擇了“文本文件(逗號(hào)分隔)”�,將會(huì)保存為Excel文件。
當(dāng)然也可以選擇另存日志文件�。
如果感覺(jué)這樣保存麻煩也可以使用微軟的resourceKit工具箱中的dumpel.exe配合計(jì)劃任務(wù)可以實(shí)現(xiàn)
定期備份系統(tǒng)日志。
4����、刪除檢查過(guò)的日志文件,日志文件越少越容易發(fā)現(xiàn)問(wèn)題�。
5、配合系統(tǒng)日志程序日志檢測(cè)可疑內(nèi)容
6��、使用EventCombMT工具
EventCombMT是一個(gè)功能強(qiáng)大的多線程工具����,它可同時(shí)分析許多服務(wù)器中的事件日志,為包含在搜索條件中的
每一臺(tái)服務(wù)器生成一個(gè)單獨(dú)的執(zhí)行線程����。利用它你可以定義
要搜索的單個(gè)事件ID或多個(gè)事件ID,用空格分格
定義一個(gè)要搜索的事件ID范圍��。如:528>ID<540
將搜索限定為特定的事件日志�。如:只搜索安全日志
將搜索限定為特定的事件消息����。如:成功審計(jì)
將搜索限制為特定的事件源�����。
搜索事件說(shuō)明內(nèi)的特定文本���。
定義特定的時(shí)間間隔以便從當(dāng)前日期和時(shí)間向后掃描
注:要使用該工具您需要安裝WindowsServer2003ResourceKitTools.安裝完成后在命令提示符下輸入EventCombMT即可
下載地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
四、通過(guò)端口檢測(cè)入侵攻擊
端口是攻擊者最喜歡的進(jìn)入的大門(mén),所以我們要養(yǎng)成查看端口的習(xí)慣
1��、通過(guò)netstat命令�����。CMD提示符下
netstat-ano:檢測(cè)當(dāng)前開(kāi)放的端口��,并顯示使用該端口程序的PID�。
netstat-n:檢測(cè)當(dāng)前活動(dòng)的連接
如果通過(guò)以上命令發(fā)現(xiàn)有不明的端口開(kāi)放了,不是中了木馬就是開(kāi)放新的服務(wù)���。
處理方法:
打開(kāi)任務(wù)管理器�,在查看菜單下選擇列�,勾選PID����,點(diǎn)擊確定�。然后根據(jù)開(kāi)放端口使用的PID在任務(wù)管理器中
查找使用該端口的程序文件名。在任務(wù)管理器殺掉該進(jìn)程�����。
如果任務(wù)管理器提示殺不掉��,可以使用ntsd命令�,格式如下:c:\>ntsd-cq-pPID。
如果使用該PID的進(jìn)程不是單獨(dú)的程序文件而是調(diào)用的Svchost或lsass(現(xiàn)在有很多木馬可以做到這一點(diǎn))��。那么
需要你有很志業(yè)的知識(shí)才能查找到����。我的經(jīng)驗(yàn)是下面的幾種方法配合使用
在服務(wù)中查找使用Svchost或lsass的可疑服務(wù)。在命令提示符下輸入tasklist/svc可以查看進(jìn)程相關(guān)聯(lián)的
PID和服務(wù)����。
利用Windows優(yōu)化大師中的進(jìn)程管理去查找Svchost或lsass中可疑的.dll。
檢查System32下最新文件:在命令提示符sytem32路徑下輸入dir/od
利用hijackthis工具可以查出系統(tǒng)啟動(dòng)的程序名和dll文件.下載地址:http://www./soft/3992.htm
發(fā)現(xiàn)可疑的dll后如果不知道是否為病毒文件去Google吧
2����、使用ActivePort軟件
ActivePort軟件安裝后用的是圖形化界面��,它可以顯示所有開(kāi)放的端口����,當(dāng)前活動(dòng)的端口��,并可以將端口��、
進(jìn)程�����、程序名路徑相關(guān)聯(lián)���。并且可以利用它來(lái)中斷某個(gè)活動(dòng)的連接
五、通過(guò)進(jìn)程監(jiān)控可疑程序
如果發(fā)現(xiàn)不正常的進(jìn)程��,及時(shí)殺掉��,如果在任務(wù)管理器中無(wú)法殺掉可以去查找可疑的服務(wù)����,將服務(wù)關(guān)閉后
再殺,當(dāng)然也可以在提示符下利用ntsd命令���。格式為:ntsd-cq-pPID
六���、利用Svcmon.exe(serviceMonitoringTool)監(jiān)視已安裝的服務(wù)
這個(gè)工具可以用來(lái)監(jiān)視本地或者是遠(yuǎn)程計(jì)算機(jī)服務(wù)的狀態(tài)改變�,當(dāng)它發(fā)現(xiàn)一個(gè)服務(wù)開(kāi)始或者是停止的時(shí)候��,
這個(gè)工具將會(huì)通過(guò)發(fā)e-mail或者是ExchangeServer來(lái)通知你知道��。要想使用這個(gè)工具需要安裝ResourceKit��。
但是去MS的網(wǎng)站http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下載的ResourceKit安裝后沒(méi)有找到這個(gè)工具�����,
其實(shí)還有很多工具這個(gè)ResourceKit沒(méi)有����。可能這是一個(gè)簡(jiǎn)單的ResourceKit包�����。后來(lái)又安裝了2003
光盤(pán)上的SupportTools也沒(méi)找到它�。我使用了2000的
ResourceKit安裝光盤(pán),安裝后,在2003上一樣可以使用����。不過(guò)我用了后發(fā)現(xiàn)系統(tǒng)會(huì)不穩(wěn)定,所以最好找2003的ResourceKit安裝光盤(pán)��。
這個(gè)工具由兩部分組成��,Svcmon.exe在你安裝好ResourceKit后��,默認(rèn)的位于C:\ProgramFiles\ResourceKit
文件夾下�,你要將其拷貝到%SystemRoot%\System32下,然后在命令提示符下輸入Smconfig將打開(kāi)
配置向?qū)?��。是圖形界面,注意在ExchangeRecipients那里添如你要提醒的用戶(hù)的Email�����。其他的
按照指示做就可以了�。
如果發(fā)現(xiàn)有不正常的服務(wù)可以使用ResourceKit中的Instsrv.exe移除服務(wù)
使用格式:instsrvservicenameRemove
七、檢測(cè)System32下的系統(tǒng)文件
在安裝好系統(tǒng)后和安裝新的軟件后對(duì)System32文件夾做備份�,然后用COMP命令定期檢查該文件的內(nèi)容查找
可疑的文件夾或文件。COMP命令的使用格式為:命令提示符下
COMPdata1data2/L/C
data1指定要比較的第一個(gè)文件的位置和名稱(chēng)�����。
data2指定要比較的第二個(gè)文件的位置和名稱(chēng)。
/L顯示不同的行數(shù)����。
/C比較文件時(shí)不分ASCII字母的大小寫(xiě)。
注:MS的WinDiff工具可以圖形化比較兩個(gè)文件
八��、利用Drivers.exe來(lái)監(jiān)視已安裝的驅(qū)動(dòng)程序
現(xiàn)在有的攻擊者將木馬添加到驅(qū)動(dòng)程序中�����,我們可以通過(guò)MS提供的Drivers工具來(lái)進(jìn)行檢測(cè)�����。
在運(yùn)行此工具的計(jì)算機(jī)上���,此工具會(huì)顯示安裝的所有設(shè)備驅(qū)動(dòng)程序�。該工具的輸出包括一些信息���,其中
有驅(qū)動(dòng)程序的文件名�����、磁盤(pán)上驅(qū)動(dòng)程序的大小�����,以及鏈接該驅(qū)動(dòng)程序的日期。鏈接日期可識(shí)別任何新安
裝的驅(qū)動(dòng)程序����。如果某個(gè)更新的驅(qū)動(dòng)程序不是最近安裝的�,可能表示這是一個(gè)被替換的驅(qū)動(dòng)程序���。
注:Drivers.exe工具在MS的的網(wǎng)站下載的WindowsServer2003ResourceKitTools中也沒(méi)有這個(gè)工具
我是使用的2000的。
九����、檢查本地用戶(hù)和組
這個(gè)想來(lái)不用說(shuō)太多����,大家都知道的了,需要注意的一點(diǎn)是,如果使用命令行的netuser來(lái)查看�����,將無(wú)法查看
到隱藏的用戶(hù)(即用戶(hù)名后加了$的),所以最好使用管理單元來(lái)查看所有用戶(hù)��。
十、檢查網(wǎng)頁(yè)文件�,特別是有與數(shù)據(jù)庫(kù)連接的文件的日期,現(xiàn)在有的攻擊者入侵后會(huì)在網(wǎng)頁(yè)代碼中留下后門(mén)����,
所以如果日期發(fā)了變化,那就要注意查看了��。
十一�����、附Server2003EnterpriseEdition安裝IIS和SQL2000后默認(rèn)啟動(dòng)的服務(wù)、進(jìn)程���、端口
1��、已啟動(dòng)的服務(wù)
AutomaticUpdate��、COM+EventSystem��、ComputerBrowser�、CryptographicServices����、DHCPClient、
DistributedfileSystem�����、DistributedlinkTracking����、Distributedtransaction、DNSClient、
ErrorReporting����、Eventlog�����、HelpAndSupports�、IPSECServices、LogicalDiskManager����、
NetworkLocation、plugandplay��、PrintSpooler����、RemoteProcedureCall、RemoteRegistry��、
SecondaryLogon����、SecurityAccounts、Server、SystemEventNetification���、TaskScheduler、
TCP/IPNetBIOS���、TerminalServices��、WindowsInstaller、WindowsManagementInstrumentation��、
WindowsTime�、WirelessConfig、Workstation�����。
以下為安裝IIS(只有WEB服務(wù))后新加的啟動(dòng)的服務(wù)
AddService��、Com+systemapplication�、HttpSSL�����、IISAdminService、
networkconnections���、protectedstorage、shellhardware�、wordwideweb��。
以下為安裝SQL2000后新增加的已啟動(dòng)的服務(wù)
MicrosoftSearch��、NTLMSecurity��、MSSQLServer
2����、已啟動(dòng)的進(jìn)程
ctfmon:admin、wpabaln:admin���、explorer:admin����、wmiprvse、dfssvc�����、msdtc:networkservice、
sploolsv���、lsass�、conime:admin�、services�、
svchost:7個(gè)其中localservice2個(gè)��、networkservice1個(gè)、winlogon���、csrss���、smss��、
system����、systemidleprocess。共計(jì):22個(gè)進(jìn)程�,其中admin、networkservice����、localservice表示用戶(hù)名
未注明的為System用戶(hù)
以下為安裝IIS后新增加的進(jìn)程
wpabaln:admin、inetinfo�、
以下為安裝SQL后新增加的進(jìn)程
mssearch、sqlmangr����、wowexecadmin��、sqlservr
3���、已開(kāi)啟的端口
TCP:135�����、445�、1025、1026、139
udp:445、500��、1027、4500、123
以下為安裝IIS后新增加的端口
tcp:80、8759注意8759這個(gè)端口是第一次安裝后自動(dòng)選擇的一個(gè)端口,所以每臺(tái)機(jī)會(huì)不同
以下為安裝SQL后新增加的端口
tcp:1433
|
