51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Windows2000服务器入侵检测技巧 续

作者:佚名
安全 网站安全
入侵检测系统能在不影响网络性能的情况下对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,能够扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。

入侵检测系统并不是万能的,高昂的价格也让人退却,而且,单个服务器或者小型网络配置入侵检测系统或者防火墙等投入也太大了。在以前的文章中我们已经介绍了一部分Windows2000服务器入侵检测是怎样的过程的内容,今天我们继续介绍。

对于WWW服务入侵的前兆检测

对于网络上开放的服务器来说,WWW服务是最常见的服务之一。基于80端口的入侵也因此是最普遍的。很多sceipt kids就对修改WEB页面非常热衷。WWW服务面对的用户多,流量相对来说都很高,同时WWW服务的漏洞和相应的入侵方法和技巧也非常多,并且也相对容易,很多“黑客”使用的漏洞扫描器就能够扫描80端口的各种漏洞,比如wwwscan 、X-scanner等,甚至也有只针对80端口的漏洞扫描器。Windows系统上提供WWW服务的IIS也一直漏洞不断,成为系统管理员头疼的一部分。

虽然80端口入侵和扫描很多,但是80端口的日志记录也非常容易。IIS提供记录功能很强大的日志记录功能。在“Internet 服务管理器”中站点属性可以启用日志记录。默认情况下日志都存放在%WinDir%System32LogFiles,按照每天保存在exyymmdd.log文件中。这些都可以进行相应配置,包括日志记录的内容。

在配置IIS的时候应该让IIS日志尽量记录得尽量详细,可以帮助进行入侵判断和分析。现在我们要利用这些日志来发现入侵前兆,或者来发现服务器是否被扫描。打开日志文件,我们能够得到类似这样的扫描记录(以Unicode漏洞举例):

  1. 2002-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..蜡../..蜡../..  
  2.  
  3. 蜡../winnt/system32/cmd.exe /c+dir 404 -  
  4.  
  5. 2002-03-10 05:42:28 192.168.1.2 - 192.168.1.1 80  
  6.  
  7. GET /script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404 - 

 

需要注意类似这样的内容:

/script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404

如果是正常用户,那么他是不会发出这样的请求的,这些是利用IIS的Unicode漏洞扫描的结果。后面的404表示并没有这样的漏洞。如果出现的是200,那么说明存在Unicode漏洞,也说明它已经被别人扫描到了或者已经被人利用了。不管是404或者200,这些内容出现在日志中,都表示有人在扫描(或者利用)服务器的漏洞,这就是入侵前兆。日志也记录下扫描者的来源:192.168.1.2这个IP地址。

再比如这个日志:

2002-03-10 06:17:50 192.168.1.2 - 192.168.1.1 80 HEAD / - 400 -

这是一个使用HEAD请求来扫描WWW服务器软件类型的记录,攻击者能够通过了解WWW使用的软件来选择扫描工具扫描的范围。

IIS通常都能够记录下所有的请求,这里面包含很多正常用户的请求记录,这也让IIS的日志文件变得非常庞大,上十兆或者更大,人工浏览分析就变得不可取。这时可以使用一些日志分析软件,帮助日志分析。或者使用下面这个简单的命令来检查是否有Unicode漏洞的扫描事件存在:

find /I "winnt/system32/cmd.exe" C:logex020310.log

“find”这个命令就是在文件中搜索字符串的。我们可以根据扫描工具或者漏洞情况建立一个敏感字符串列表,比如“HEAD”、“cmd.exe”(Unicode漏洞)、“.ida”“.idq”(IDA/IDQ远程溢出漏洞)、“.printer”(Printer远程溢出漏洞)等等。

对于FTP等服务入侵的前兆检测

根据前面对于WWW服务入侵前兆的检测,我们可以照样来检测FTP或者其他服务(POP、SMTP等)。以FTP服务来举例,对于FTP服务,通常最初的扫描或者入侵必然是进行帐号的猜解。对于IIS提供的FTP服务,也跟WWW服务一样提供了详尽的日志记录(如果使用其他的FTP服务软件,它们也应该有相应的日志记录)。

我们来分析这些日志:

  1. 2002-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331  
  2.  
  3. 2002-03-10 06:41:19 192.168.21.130 - [36]PASS - 530 

 

这表示用户名administrator请求登录,但是登录失败了。当在日志中出现大量的这些登录失败的记录,说明有人企图进行FTP的帐号猜解。这就是从FTP服务来入侵的入侵前兆。

分析这些日志的方法也跟前面分析WWW服务的日志方法类似。因为FTP并不能进行帐号的枚举,所以,如果发现有攻击者猜测的用户名正好和你使用的帐号一致,那么就需要修改帐号并加强密码长度。

入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。希望大家多多掌握入侵检测的知识,以有效地保护自己的计算机。

【编辑推荐】

  1. IDP入侵检测防御详解
  2. 入侵检测三级跳 解析跳板技术
  3. 用入侵检测系统提高安全系数
  4. Windows2000服务器入侵检测技巧
责任编辑:佚名 来源: 中国教育网
入侵检测
相关推荐
Windows2000服务器入侵检测技巧
入侵检测(IntrusionDetection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计入侵检测图片数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

2011-03-15 17:05:30

Windows2000服务器下安装Oracle9i与10g
想用Windows2000建设网站,Oracle9i10g安装搭建数据库后台的新手,不防进来看一看,想必你会有很多收获。

2010-04-13 11:01:30

Oracle安装
怎样设置Windows2000 Telnet
下面我们对Windows2000Telnet的基本配置来进行一下介绍。首先通过基本配置来讲这个服务规范化,最后通过身份验证来保证这个服务的安全。

2010-07-21 10:33:21

Windows2000升级VPN安全么?
在有些情况下,企业内部网的有些局域网对安全性的要求极高,如公司的开发中心、财务部,此时可以在安全性要求高的局域网内设立一个VPN服务器,与整个企业内部网的其它部分相连。

2009-09-02 15:14:15

Windows Server服务器日常管理技巧
高效管理服务器一直离不开有效的服务器管理技巧,尽管你已经掌握了不少这方面的技巧,但服务器还有许许多多的技巧在等着你的总结,等着你的挖掘;这不,下面的一些服务器管理窍门就是笔者在最近的工作中总结出来的,相信有不少是你很少遇到过的!

2010-10-12 11:15:29

入侵JSP网站服务器
本文介绍入侵JSP网站服务器,以及介绍JSP网站小知识和JSP网站专家支招等。

2009-07-02 17:17:03

Windows服务器管理经验技巧
windows服务器在营收比例方面,依然是市场上遥遥的领先者,本文为广大读者收集整理了一些在Windows服务器管理方面的经验技巧,其中包括拒绝服务器重新启动、取消对服务器的限制访问、远程查看服务器日志文件等内容。

2011-08-08 10:19:55

Windows服务器
如何抓住黑客入侵Windows系统
相对安全环境的取得可以通过不断地完善系统程序、装上防火墙,同时对那些胆敢在网络上破坏秩序做出不义行为的人给予恰如其分的处理。这必然要牵涉到证据的收集,本文对这一方面的内容针对Windows系统进行近一步的研究。

2011-03-15 16:03:06

如何成功入侵Linux服务器
随着Linux服务器的流行,它和WindowsPC一样成为攻击者眼中极具吸引力的目标。

2013-12-19 10:37:17

软考网工之负载均衡详解二
网络负载均衡服务在Windows2000高级服务器和Windows2000数据中心服务器操作系统中均可得到。网络负载均衡提高了使用在诸如Web服务器、FTP服务器和其它关键任务服务器上的因特网服务器程序的可用性和可伸缩性。

2009-01-05 15:55:00

软考网工负载均衡
2012 Windows服务器管理技巧Top5
我们列出了最受欢迎的技巧,让你了解保持Windows服务器的性能的最新方法。包括如何快捷并安全地为客户建立互联网上的资源;找到PowerShellv3中可能对管理微软产品带来重大改变的功能等等。

2012-09-26 10:22:09

Windows服务器管理技巧
三大技巧实现Windows服务器高效管理
一般情况下,在Windows2003Server系统中安装完补丁程序后,系统总会提示要重新启动一下服务器。可是许多朋友往往无法容忍Windows2003Server服务器“慢吞吞”的启动操作,于是希望打完安全补丁之后服务器不再重新启动。其实,Windows2003Server服务器是否会重新启动,跟当前的系统补丁特性有一定的关系。

2009-01-05 18:44:48

服务器管理Windows
使用MRTG在Linux上监测Windows2000的网路流量
使用MRTG在Linux主机上监测Windows2000的网路流量:MRTG是一个监控网络链路流量负载的工具软件,通过snmp协议得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,本文讲述的是在Linux主机上监测Windows2000的网路流量。

2011-03-30 13:40:21

MRTG
如何给windows2000注册表编辑装个地址栏?
本文对一款给系统默认的注册表编辑器添加地址栏的工具软件进行的介绍。

2011-07-28 10:49:50

注册表编辑器地址栏
黑客入侵服务器后的手段
黑客攻击总是备受关注,因为在互联网时代,网络安全总是与全球十多亿网民的利益息息相关。在信息共享与个人隐私并存的虚拟世界,黑客的无所不能,总让人胆战心惊。那么黑客入侵服务器后手段有那些呢?

2011-03-04 12:33:16

IIS 服务器服务帐户的安全讲解
在学习过以往的文章,我们知道打开更多的端口将使得您的环境下的IIS服务器更容易管理,但是这可能大大降低服务器的安全性。

2010-05-12 17:40:56

IIS 服务器
Windows 2000Windows Server 2003下DHCP服务器的租约和授权
文章中,我们针对DHCP服务器的租约续约以及授权内容进行一下分析和介绍。系统是Windows2000和WindowsServer2003。

2010-08-30 11:03:48

DHCP服务器Windows 200Windows Ser
VPN服务商“兵马俑”入侵Windows服务器作为VPN节点
RSA安全研究人员最新发现,中国一个名为“兵马俑”的VPN服务商入侵了世界各地的Windows服务器,然后将其改造为VPN节点用于APT攻击组织DeepPanda(深渊熊猫)和ShellCrew(Shell战队)的网络间谍活动

2015-08-07 15:48:16

微软2010年1月安全公告 Windows2000独领风骚
之前总是大堆大堆的漏洞补丁和更新公告总是让各运维人员提心吊胆的,北京时间1月13日上午,更新公告出来了。和51cto编辑之前文章所述一致,微软果然就发了一个补丁,XPVISTAWIN7用户都不在威胁之列。

2010-01-13 10:25:36

Win Server2008与Win7有无近亲关系
Windows7是自Windows2000以来,微软首次同时推出客户端和服务器端Windows。

2009-08-27 09:50:03

Windows 7Windows Ser
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服