Win200020Server入侵監(jiān)測.doc

Win2000 Server入侵監(jiān)測入侵的檢測主要還是根據(jù)應用來進行，提供了相應的服務就應該有相應的檢測分析系統(tǒng)來進行保護，對于一般的主機來說，主要應該注意以下幾個方面： 1、 基于80端口入侵的檢測 WWW服務大概是最常見的服務之一了，而且由于這個服務面對廣大用戶，服務的流量和復雜度都很高，所以針對這個服務的漏洞和入侵技巧也最多。對于NT來說，IIS一直是系統(tǒng)管理員比較頭疼的一部分（恨不得關了80端口），不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認存放在System32/LogFiles目錄下，一般是按24小時滾動的，在IIS管理器中可以對它進行詳細的配置。（具體怎么配我不管你，不過你要是不詳細記錄，回頭查不到入侵者的IP可不要哭） 現(xiàn)在我們再假設（怎么老是假設呀，煩不煩？）別急呀，我不能為了寫這篇文章真的去黑掉一臺主機，所以只好假設了，我們假設一臺WEB服務器，開放了WWW服務，你是這臺服務器的系統(tǒng)管理員，已經(jīng)小心地配置了IIS，使用W3C擴展的日志格式，并至少記錄了時間（Time）、客戶端IP（Client IP）、方法（Method）、URI資源(URI Stem)、URI查詢(URI Query)，協(xié)議狀態(tài)（Protocol Status)，我們用最近比較流行的Unicode漏洞來進行分析：打開IE的窗口，在地址欄輸入：/scripts/.%c1% 1c./winnt/system32/cmd.exe?/c+dir 默認的情況下你可以看到目錄列表（什么？你已經(jīng)做過安全配置了，看不到？恢復默認安裝，我們要做個實驗），讓我們來看看IIS的日志都記錄了些什么，打開Ex010318.log（Ex代表W3C擴展格式，后面的一串數(shù)字代表日志的記錄日期）：07:42:58 GET /scripts/./winnt/system32cmd.exe /c+dir 200上面這行日志表示在格林威治時間07:42:58（就是北京時間23:42:58），有一個家伙（入侵者）從的IP在你的機器上利用Unicode漏洞（%c1%1c被解碼為，實際的情況會因為Windows語言版本的不同而有略微的差別）運行了cmd.exe，參數(shù)是/c dir，運行結果成功（HTTP 200代表正確返回）。(哇，記錄得可真夠全的，以后不敢隨便亂玩Unicode了) 大多數(shù)情況下，IIS的日志會忠實地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊，這個我們以后再討論），所以，一個優(yōu)秀的系統(tǒng)管理員應該擅長利用這點來發(fā)現(xiàn)入侵的企圖，從而保護自己的系統(tǒng)。但是，IIS的日志動輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日志分析軟件，用任何語言編寫一個日志分析軟件（其實就是文本過濾器）都非常簡單，不過考慮到一些實際情況（比如管理員不會寫程序，或者服務器上一時找不到日志分析軟件），我可以告訴大家一個簡單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的CMD命令：find Global.asa ex010318.log /i這個命令使用的是NT自帶的find.exe工具（所以不怕緊急情況找不著），可以輕松的從文本文件中找到你想過濾的字符串，Global.asa是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔，所以關于這個命令的其他參數(shù)以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。 無論是基于日志分析軟件或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞（比如+.htr）以及未來將要出現(xiàn)的漏洞可能會調用的資源（比如Global.asa或者cmd.exe），通過過濾這張不斷更新的字符串表，一定可以盡早了解入侵者的行動。 需要提醒的是，使用任何日志分析軟件都會占用一定的系統(tǒng)資源，因此，對于IIS日志分析這樣低優(yōu)先級的任務，放在夜里空閑時自動執(zhí)行會比較合適，如果再寫一段腳本把過濾后的可疑文本發(fā)送給系統(tǒng)管理員，那就更加完美了。同時，如果敏感字符串表較大，過濾策略復雜，我建議還是用C寫一個專用程序會比較合算。 2、 基于安全日志的檢測 通過基于IIS日志的入侵監(jiān)測，我們能提前知道窺伺者的行蹤（如果你處理失當，窺伺者隨時會變成入侵者），但是IIS日志不是萬能的，它在某種情況下甚至不能記錄來自80端口的入侵，根據(jù)我對IIS日志系統(tǒng)的分析，IIS只有在一個請求完成后才會寫入日志，換言之，如果一個請求中途失敗，日志文件中是不會有它的蹤影的（這里的中途失敗并不是指發(fā)生HTTP400錯誤這樣的情況，而是從TCP層上沒有完成HTTP請求，例如在POST大量數(shù)據(jù)時異常中斷），對于入侵者來說，就有可能繞過日志系統(tǒng)完成大量的活動。 而且，對于非80 Only的主機，入侵者也可以從其它的服務進入服務器，因此，建立一套完整的安全監(jiān)測系統(tǒng)是非常必要的。 Win2000自帶了相當強大的安全日志系統(tǒng)，從用戶登錄到特權的使用都有非常詳細的記錄，可惜的是，默認安裝下安全審核是關閉的，以至于一些主機被黑后根本沒法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核，一般來說，登錄事件與賬戶管理是我們最關心的事件，同時打開成功和失敗審核非常必要，其他的審核也要打開失敗審核，這樣可以使得入侵者步步維艱，一不小心就會露出馬腳。僅僅打開安全審核并沒有完全解決問題，如果沒有很好的配置安全日志的大小及覆蓋方式，一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現(xiàn)。 設置了安全日志卻不去檢查跟沒有設置安全日志幾乎一樣糟糕（唯一的優(yōu)點是被黑了以后可以追查入侵者），所以，制定一個安全日志的檢查機制也是非常重要的，作為安全日志，推薦的檢查時間是每天上午，這是因為，入侵者喜歡夜間行動（速度快呀，要不你入侵到一半的時候連不上了，那可是哭都哭不出來）上午上班第一件事正好看看日志有沒有異常，然后就可以放心去做其他的事了。如果你喜歡，也可以編寫腳本每天把安全日志作為郵件發(fā)送給你（別太相信這個了，要是哪個高手上去改了你的腳本，每天發(fā)送平安無事） 除了安全日志，系統(tǒng)日志和應用程序日志也是非常好的輔助監(jiān)測工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權限，那么他一定會去清除痕跡的），在系統(tǒng)和應用程序日志中也會留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。 3、文件訪問日志與關鍵文件保護 除了系統(tǒng)默認的安全審核外，對于關鍵的文件，我們還要加設文件訪問日志，記錄對他們的訪問。 文件訪問有很多的選項：訪問、修改、執(zhí)行、新建、屬性更改.一般來說，關注訪問和修改就能起到很大的監(jiān)視作用。 例如，如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建，甚至部分重要文件的訪問（例如cmd.exe, net.exe，system32目錄），那么，入侵者就很難安放后門而不引起我們的注意，要注意的是，監(jiān)視的關鍵文件和項目不能太多，否則不僅增加系統(tǒng)負擔，還會擾亂日常的日志監(jiān)測工作 （哪個系統(tǒng)管理員有耐心每天看四、五千條垃圾日志？） 關鍵文件不僅僅指的是系統(tǒng)文件，還包括有可能對系統(tǒng)管理員/其他用戶構成危害的任何文件，例如系統(tǒng)管理員的配置、桌面文件等等，這些都是有可能用來竊取系統(tǒng)管理員資料/密碼的。 4、 進程監(jiān)控 進程監(jiān)控技術是追蹤木馬后門的另一個有力武器，90%以上的木馬和后門是以進程的形式存在的（也有以其他形式存在的木馬，參見揭開木馬的神秘面紗三），作為系統(tǒng)管理員，了解服務器上運行的每個進程是職責之一（否則不要說安全，連系統(tǒng)優(yōu)化都沒有辦法做），做一份每臺服務器運行進程的列表非常必要，能幫助管理員一眼就發(fā)現(xiàn)入侵進程，異常的用戶進程或者異常的資源占用都有可能是非法進程。除了進程外，DLL也是危險的東西，例如把原本是exe類型的木馬改寫為dll后，使用rundll32運行就比較具有迷惑性。 5、 注冊表校驗 一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。一般來說，如果一個入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個鍵值（比如Run、Runonce等等），查找起來是相對容易的，但是對于可以自己編寫/改寫木馬的人來說，注冊表的任何地方都可以藏身，靠手工查找就沒有可能了。（注冊表藏身千變萬化，例如需要特別提出來的FakeGina技術，這種利用WINNT外嵌登錄DLL（Ginadll）來獲得用戶密碼的方法最近比較流行，一旦中招，登錄用戶的密碼就會被記錄無遺，具體的預防方法我這里就不介紹了。）應對的方法是監(jiān)控注冊表的任何改動，這樣改寫注冊表的木馬就沒有辦法遁形了。監(jiān)控注冊表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能，一個監(jiān)控軟件加上定期對注冊表進行備份，萬一注冊表被非授權修改，系統(tǒng)管理員也能在最短的時間內恢復。 6、端口監(jiān)控 雖然說不使用端口的木馬已經(jīng)出現(xiàn)，但是大部分的后門和木馬還是使用TCP連接的，監(jiān)控端口的狀況對于由于種種原因不能封鎖端口的主機來說就是非常重要的了，我們這里不談使用NDIS網(wǎng)卡高級編程的IDS系統(tǒng)，對于系統(tǒng)管理員來說，了解自己服務器上開放的端口甚至比對進程的監(jiān)控更加重要，常常使用netstat查看服務器的端口狀況是一個良好的習慣，但是并不能24小時這樣做，而且NT的安全日志有一個壞習慣，喜歡記錄機器名而不是IP（不知道比爾蓋子怎么想的），如果你既沒有防火墻又沒有入侵檢測軟件，倒是可以用腳本來進行IP日志記錄的，看著這個命令： netstat -n -p tcp 10Netstat.log,這個命令每10秒鐘自動查看一次TCP的連接狀況，基于這個命令我們做一個Netlog.bat文件: time /tNetstat.log Netstat -n -p tcp 10Netstat.log 這個腳本將會自動記錄時間和TCP連接狀態(tài)，需要注意的是：如果網(wǎng)站訪問量比較大，這樣的操作是需要消耗一定的CPU時間的，而且日志文件將越來越大，所以請慎之又慎。（要是做個腳本就完美無缺，誰去買防火墻？:） 一旦發(fā)現(xiàn)異常的端口，可以使用特殊的程序來關聯(lián)端口、可執(zhí)行文件和進程(如inzider就有這樣的功能，它可以發(fā)現(xiàn)服務器監(jiān)聽的端口并找出與該端口關聯(lián)的文件，inzider可以從下載到)，這樣無論是使用TCP還是UDP的木馬都無處藏身。 7、終端服務的日志監(jiān)控 單獨將終端服務（Terminal Service）的日志監(jiān)控分列出來是有原因的，微軟Win2000服務器版中自帶的終端服務Terminal Service是一個基于遠程桌面協(xié)議（RDP）的工具，它的速度非?？欤埠芊€(wěn)定，可以成為一個很好的遠程管理軟件，但是因為這個軟件功能強大而且只受到密碼的保護，所以也非常的危險，一旦入侵者擁有了管理員密碼，就能夠象本機一樣操作遠程服務器（不需要高深的NT命令行技巧，不需要編寫特殊的腳本和程序，只要會用鼠標就能進行一切系統(tǒng)管理操作，實在是太方便、也實在是太可怕了）。雖然很多人都在使用終端服務來進行遠程管理，但是，并不是人人都知道如何對終端服務進行審核，大多數(shù)的終端服務器上并沒有打開終端登錄的日志，其實打開日志審核是很容易的，在管理工具中打開遠程控制服務配置（Terminal Service Configration），點擊連接，右擊你想配置的RDP服務（比如 RDP-TCP(Microsoft RDP 5.0)，選中書簽權限，點擊左下角的高級，看見上面那個審核了么？我們來加入一個Everyone組，這代表所有的用戶，然后審核他的連接、斷開、注銷的成功和登錄的成功和失敗就足夠了，審核太多了反而不好，這個審核是記錄在安全日志中的，可以從管理工具-日志查看器中查看?，F(xiàn)在什么人什么時候登錄我都一清二楚了，可是美中不足的是：這個破爛玩藝居然不記錄客戶端的IP（只能查看在線用戶的IP），而是華而不實的記錄什么機器名，倒！要是別人起個PIG的機器名你只好受他的嘲弄了，不知道微軟是怎么想的，看來還是不能完全依賴微軟呀，我們自己來吧？寫個程序，一切搞定，你會C么？不會？VB呢？也不會？Delphi？什么？你什么編程語言都不會？我倒，畢竟系統(tǒng)管理員不是程序員呀，別急別急，我給你想辦法，我們來建立一個bat文件，叫做TSLog.bat，這個文件用來記錄登錄者的IP，內容如下： time /t TSLog.log netstat -n -p tcp find :3389TSLog.log start Explorer 我來解釋一下這個文件的含義： 第一行是記錄用戶登錄的時間，time /t的意思是直接返回系統(tǒng)時間（如果不加/t，系統(tǒng)會等待你輸入新的時間），然后我們用追加符號把這個時間記入TSLog.log作為日志的時間字段； 第二行是記錄用戶的IP地址，netstat是用來顯示當前網(wǎng)絡連接狀況的命令，-n表示顯示IP和端口而不是域名、協(xié)議，-ptcp是只顯示tcp協(xié)議，然后我們用管道符號把這個命令的結果輸出給find命令，從輸出結果中查找包含:3389的行（這就是我們要的客戶的IP所在的行，如果你更改了終端服務的端口，這個數(shù)值也要作相應的更改），最后我們同樣把這個結果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，記錄格式如下： 22:40 TCP8:338923:4903ESTABLISHED 22:54