Windows2000服務(wù)器入侵檢測技巧 續(xù)
入侵檢測系統(tǒng)并不是萬能的,高昂的價格也讓人退卻,而且,單個服務(wù)器或者小型網(wǎng)絡(luò)配置入侵檢測系統(tǒng)或者防火墻等投入也太大了。在以前的文章中我們已經(jīng)介紹了一部分Windows2000服務(wù)器入侵檢測是怎樣的過程的內(nèi)容,今天我們繼續(xù)介紹。
對于WWW服務(wù)入侵的前兆檢測
對于網(wǎng)絡(luò)上開放的服務(wù)器來說,WWW服務(wù)是最常見的服務(wù)之一。基于80端口的入侵也因此是最普遍的。很多sceipt kids就對修改WEB頁面非常熱衷。WWW服務(wù)面對的用戶多,流量相對來說都很高,同時WWW服務(wù)的漏洞和相應(yīng)的入侵方法和技巧也非常多,并且也相對容易,很多“黑客”使用的漏洞掃描器就能夠掃描80端口的各種漏洞,比如wwwscan 、X-scanner等,甚至也有只針對80端口的漏洞掃描器。Windows系統(tǒng)上提供WWW服務(wù)的IIS也一直漏洞不斷,成為系統(tǒng)管理員頭疼的一部分。
雖然80端口入侵和掃描很多,但是80端口的日志記錄也非常容易。IIS提供記錄功能很強(qiáng)大的日志記錄功能。在“Internet 服務(wù)管理器”中站點(diǎn)屬性可以啟用日志記錄。默認(rèn)情況下日志都存放在%WinDir%System32LogFiles,按照每天保存在exyymmdd.log文件中。這些都可以進(jìn)行相應(yīng)配置,包括日志記錄的內(nèi)容。
在配置IIS的時候應(yīng)該讓IIS日志盡量記錄得盡量詳細(xì),可以幫助進(jìn)行入侵判斷和分析。現(xiàn)在我們要利用這些日志來發(fā)現(xiàn)入侵前兆,或者來發(fā)現(xiàn)服務(wù)器是否被掃描。打開日志文件,我們能夠得到類似這樣的掃描記錄(以Unicode漏洞舉例):
- 2002-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..蠟../..蠟../..
- 蠟../winnt/system32/cmd.exe /c+dir 404 -
- 2002-03-10 05:42:28 192.168.1.2 - 192.168.1.1 80
- GET /script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404 -
需要注意類似這樣的內(nèi)容:
/script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404
如果是正常用戶,那么他是不會發(fā)出這樣的請求的,這些是利用IIS的Unicode漏洞掃描的結(jié)果。后面的404表示并沒有這樣的漏洞。如果出現(xiàn)的是200,那么說明存在Unicode漏洞,也說明它已經(jīng)被別人掃描到了或者已經(jīng)被人利用了。不管是404或者200,這些內(nèi)容出現(xiàn)在日志中,都表示有人在掃描(或者利用)服務(wù)器的漏洞,這就是入侵前兆。日志也記錄下掃描者的來源:192.168.1.2這個IP地址。
再比如這個日志:
2002-03-10 06:17:50 192.168.1.2 - 192.168.1.1 80 HEAD / - 400 -
這是一個使用HEAD請求來掃描WWW服務(wù)器軟件類型的記錄,攻擊者能夠通過了解WWW使用的軟件來選擇掃描工具掃描的范圍。
IIS通常都能夠記錄下所有的請求,這里面包含很多正常用戶的請求記錄,這也讓IIS的日志文件變得非常龐大,上十兆或者更大,人工瀏覽分析就變得不可取。這時可以使用一些日志分析軟件,幫助日志分析。或者使用下面這個簡單的命令來檢查是否有Unicode漏洞的掃描事件存在:
find /I "winnt/system32/cmd.exe" C:logex020310.log
“find”這個命令就是在文件中搜索字符串的。我們可以根據(jù)掃描工具或者漏洞情況建立一個敏感字符串列表,比如“HEAD”、“cmd.exe”(Unicode漏洞)、“.ida”“.idq”(IDA/IDQ遠(yuǎn)程溢出漏洞)、“.printer”(Printer遠(yuǎn)程溢出漏洞)等等。
對于FTP等服務(wù)入侵的前兆檢測
根據(jù)前面對于WWW服務(wù)入侵前兆的檢測,我們可以照樣來檢測FTP或者其他服務(wù)(POP、SMTP等)。以FTP服務(wù)來舉例,對于FTP服務(wù),通常最初的掃描或者入侵必然是進(jìn)行帳號的猜解。對于IIS提供的FTP服務(wù),也跟WWW服務(wù)一樣提供了詳盡的日志記錄(如果使用其他的FTP服務(wù)軟件,它們也應(yīng)該有相應(yīng)的日志記錄)。
我們來分析這些日志:
- 2002-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331
- 2002-03-10 06:41:19 192.168.21.130 - [36]PASS - 530
這表示用戶名administrator請求登錄,但是登錄失敗了。當(dāng)在日志中出現(xiàn)大量的這些登錄失敗的記錄,說明有人企圖進(jìn)行FTP的帳號猜解。這就是從FTP服務(wù)來入侵的入侵前兆。
分析這些日志的方法也跟前面分析WWW服務(wù)的日志方法類似。因?yàn)镕TP并不能進(jìn)行帳號的枚舉,所以,如果發(fā)現(xiàn)有攻擊者猜測的用戶名正好和你使用的帳號一致,那么就需要修改帳號并加強(qiáng)密碼長度。
入侵檢測是防火墻的合理補(bǔ)充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。希望大家多多掌握入侵檢測的知識,以有效地保護(hù)自己的計算機(jī)。
【編輯推薦】
