入侵檢測初步
　　上一章我們談到了Win2000 Server的安全配置，經(jīng)過精心配置的Win2000服務器可以防御90%以上的入侵和滲透，但是，就象上一章結(jié)束時我所提到的：系統(tǒng)安全是一個連續(xù)的過程，隨著新漏洞的出現(xiàn)和服務器應用的變化，系統(tǒng)的安全狀況也在不斷變化著；同時由于攻防是矛盾的統(tǒng)一體，道消魔長和魔消道長也在不斷的轉(zhuǎn)換中，因此，再高明的系統(tǒng)管理員也不能保證一臺正在提供服務的服務器長時間絕對不被入侵。
　　所以，安全配置服務器并不是安全工作的結(jié)束，相反卻是漫長乏味的安全工作的開始，本文我們將初步探討Win2000服務器入侵檢測的初步技巧，希望能幫助您長期維護服務器的安全。 中國_網(wǎng)管聯(lián)盟bitsCN.com
　　本文中所說的入侵檢測指的是利用Win2000 Server自身的功能及系統(tǒng)管理員自己編寫的軟件/腳本進行的檢測，使用防火墻（Firewall）或入侵監(jiān)測系統(tǒng)（IDS）的技巧并不在本文的討論范圍之內(nèi)。
　　現(xiàn)在假定：我們有一臺Win2000 Server的服務器，并且經(jīng)過了初步的安全配置（關于安全配置的詳情可以參閱Win2000 Server安全配置入門<一>），在這種情況下，大部分的入侵者將被拒之門外。（哈哈，我管理員可以回家睡大覺去了）慢著，我說的是大部分，不是全部，經(jīng)過初步安全配置的服務器雖然可以防御絕大多數(shù)的Script kid（腳本族-只會用別人寫的程序入侵服務器的人），遇到了真正的高手，還是不堪一擊的。雖然說真正的高手不會隨便進入別人的服務器，但是也難保有幾個品行不端的邪派高手看上了你的服務器。（我真的這么衰么？）而且，在漏洞的發(fā)現(xiàn)與補丁的發(fā)布之間往往有一段時間的真空，任何知道漏洞資料的人都可以乘虛而入，這時，入侵檢測技術(shù)就顯得非常的重要。
bitsCN#com中國網(wǎng)管聯(lián)盟

　　入侵的檢測主要還是根據(jù)應用來進行，提供了相應的服務就應該有相應的檢測分析系統(tǒng)來進行保護，對于一般的主機來說，主要應該注意以下幾個方面：
　　1、 基于80端口入侵的檢測
　　WWW服務大概是最常見的服務之一了，而且由于這個服務面對廣大用戶，服務的流量和復雜度都很高，所以針對這個服務的漏洞和入侵技巧也最多。對于NT來說，IIS一直是系統(tǒng)管理員比較頭疼的一部分（恨不得關了80端口），不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認存放在System32/LogFiles目錄下，一般是按24小時滾動的，在IIS管理器中可以對它進行詳細的配置。（具體怎么配我不管你，不過你要是不詳細記錄，回頭查不到入侵者的IP可不要哭）
　　現(xiàn)在我們再假設（怎么老是假設呀，煩不煩？）別急呀，我不能為了寫這篇文章真的去黑掉一臺主機，所以只好假設了，我們假設一臺WEB服務器，開放了WWW服務，你是這臺服務器的系統(tǒng)管理員，已經(jīng)小心地配置了IIS，使用W3C擴展的日志格式，并至少記錄了時間（Time）、客戶端IP（Client IP）、方法（Method）、URI資源(URI Stem)、URI查詢(URI Query)，協(xié)議狀態(tài)（Protocol Status)，我們用最近比較流行的Unicode漏洞來進行分析：打開IE的窗口，在地址欄輸入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默認的情況下你可以看到目錄列表（什么？你已經(jīng)做過安全配置了，看不到？恢復默認安裝，我們要做個實驗），讓我們來看看IIS的日志都記錄了些什么，打開Ex010318.log（Ex代表W3C擴展格式，后面的一串數(shù)字代表日志的記錄日期）：07:42:58 127.0.0.1 GET /scripts/..../winnt/system32cmd.exe /c+dir 200上面這行日志表示在格林威治時間07:42:58（就是北京時間23:42:58），有一個家伙（入侵者）從127.0.0.1的IP在你的機器上利用Unicode漏洞（%c1%1c被解碼為""，實際的情況會因為Windows語言版本的不同而有略微的差別）運行了cmd.exe，參數(shù)是/c dir，運行結(jié)果成功（HTTP 200代表正確返回）。(哇，記錄得可真夠全的，以后不敢隨便亂玩Unicode了) bitsCN.nET*中國網(wǎng)管博客
　　大多數(shù)情況下，IIS的日志會忠實地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊，這個我們以后再討論），所以，一個優(yōu)秀的系統(tǒng)管理員應該擅長利用這點來發(fā)現(xiàn)入侵的企圖，從而保護自己的系統(tǒng)。但是，IIS的日志動輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日志分析軟件，用任何語言編寫一個日志分析軟件（其實就是文本過濾器）都非常簡單，不過考慮到一些實際情況（比如管理員不會寫程序，或者服務器上一時找不到日志分析軟件），我可以告訴大家一個簡單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的CMD命令：find "Global.asa" ex010318.log /i這個命令使用的是NT自帶的find.exe工具（所以不怕緊急情況找不著），可以輕松的從文本文件中找到你想過濾的字符串，"Global.asa"是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔，所以關于這個命令的其他參數(shù)以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。
　　無論是基于日志分析軟件或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞（比如"+.htr"）以及未來將要出現(xiàn)的漏洞可能會調(diào)用的資源（比如Global.asa或者cmd.exe），通過過濾這張不斷更新的字符串表，一定可以盡早了解入侵者的行動。
www_bitscn_com中國.網(wǎng)管聯(lián)盟

　　需要提醒的是，使用任何日志分析軟件都會占用一定的系統(tǒng)資源，因此，對于IIS日志分析這樣低優(yōu)先級的任務，放在夜里空閑時自動執(zhí)行會比較合適，如果再寫一段腳本把過濾后的可疑文本發(fā)送給系統(tǒng)管理員，那就更加完美了。同時，如果敏感字符串表較大，過濾策略復雜，我建議還是用C寫一個專用程序會比較合算。
　　2、 基于安全日志的檢測
　　通過基于IIS日志的入侵監(jiān)測，我們能提前知道窺伺者的行蹤（如果你處理失當，窺伺者隨時會變成入侵者），但是IIS日志不是萬能的，它在某種情況下甚至不能記錄來自80端口的入侵，根據(jù)我對IIS日志系統(tǒng)的分析，IIS只有在一個請求完成后才會寫入日志，換言之，如果一個請求中途失敗，日志文件中是不會有它的蹤影的（這里的中途失敗并不是指發(fā)生HTTP400錯誤這樣的情況，而是從TCP層上沒有完成HTTP請求，例如在POST大量數(shù)據(jù)時異常中斷），對于入侵者來說，就有可能繞過日志系統(tǒng)完成大量的活動。
　　而且，對于非80 Only的主機，入侵者也可以從其它的服務進入服務器，因此，建立一套完整的安全監(jiān)測系統(tǒng)是非常必要的。 [bitsCN.Com]
　　Win2000自帶了相當強大的安全日志系統(tǒng)，從用戶登錄到特權(quán)的使用都有非常詳細的記錄，可惜的是，默認安裝下安全審核是關閉的，以至于一些主機被黑后根本沒法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核，一般來說，登錄事件與賬戶管理是我們最關心的事件，同時打開成功和失敗審核非常必要，其他的審核也要打開失敗審核，這樣可以使得入侵者步步維艱，一不小心就會露出馬腳。僅僅打開安全審核并沒有完全解決問題，如果沒有很好的配置安全日志的大小及覆蓋方式，一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現(xiàn)。
　　設置了安全日志卻不去檢查跟沒有設置安全日志幾乎一樣糟糕（唯一的優(yōu)點是被黑了以后可以追查入侵者），所以，制定一個安全日志的檢查機制也是非常重要的，作為安全日志，推薦的檢查時間是每天上午，這是因為，入侵者喜歡夜間行動（速度快呀，要不你入侵到一半的時候連不上了，那可是哭都哭不出來）上午上班第一件事正好看看日志有沒有異常，然后就可以放心去做其他的事了。如果你喜歡，也可以編寫腳本每天把安全日志作為郵件發(fā)送給你（別太相信這個了，要是哪個高手上去改了你的腳本，每天發(fā)送"平安無事"……）
BBS.bitsCN.com網(wǎng)管論壇

　　除了安全日志，系統(tǒng)日志和應用程序日志也是非常好的輔助監(jiān)測工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權(quán)限，那么他一定會去清除痕跡的），在系統(tǒng)和應用程序日志中也會留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。
　　3、 文件訪問日志與關鍵文件保護
　　除了系統(tǒng)默認的安全審核外，對于關鍵的文件，我們還要加設文件訪問日志，記錄對他們的訪問。
　　文件訪問有很多的選項：訪問、修改、執(zhí)行、新建、屬性更改......一般來說，關注訪問和修改就能起到很大的監(jiān)視作用。
　　例如，如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建，甚至部分重要文件的訪問（例如cmd.exe,net.exe，system32目錄），那么，入侵者就很難安放后門而不引起我們的注意，要注意的是，監(jiān)視的關鍵文件和項目不能太多，否則不僅增加系統(tǒng)負擔，還會擾亂日常的日志監(jiān)測工作
　　（哪個系統(tǒng)管理員有耐心每天看四、五千條垃圾日志？）
　　關鍵文件不僅僅指的是系統(tǒng)文件，還包括有可能對系統(tǒng)管理員/其他用戶構(gòu)成危害的任何文件，例如系統(tǒng)管理員的配置、桌面文件等等，這些都是有可能用來竊取系統(tǒng)管理員資料/密碼的。
bbs.bitsCN.com

　　4、 進程監(jiān)控
　　進程監(jiān)控技術(shù)是追蹤木馬后門的另一個有力武器，90%以上的木馬和后門是以進程的形式存在的（也有以其他形式存在的木馬，參見《揭開木馬的神秘面紗三》），作為系統(tǒng)管理員，了解服務器上運行的每個進程是職責之一（否則不要說安全，連系統(tǒng)優(yōu)化都沒有辦法做），做一份每臺服務器運行進程的列表非常必要，能幫助管理員一眼就發(fā)現(xiàn)入侵進程，異常的用戶進程或者異常的資源占用都有可能是非法進程。除了進程外，DLL也是危險的東西，例如把原本是exe類型的木馬改寫為dll后，使用rundll32運行就比較具有迷惑性。
　　5、 注冊表校驗
　　一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。一般來說，如果一個入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個鍵值