Win200020Server入侵監(jiān)測.doc

Win2000 Server入侵監(jiān)測入侵的檢測主要還是根據(jù)應(yīng)用來進(jìn)行，提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測分析系統(tǒng)來進(jìn)行保護(hù)，對于一般的主機(jī)來說，主要應(yīng)該注意以下幾個方面： 1、 基于80端口入侵的檢測 WWW服務(wù)大概是最常見的服務(wù)之一了，而且由于這個服務(wù)面對廣大用戶，服務(wù)的流量和復(fù)雜度都很高，所以針對這個服務(wù)的漏洞和入侵技巧也最多。對于NT來說，IIS一直是系統(tǒng)管理員比較頭疼的一部分（恨不得關(guān)了80端口），不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下，一般是按24小時(shí)滾動的，在IIS管理器中可以對它進(jìn)行詳細(xì)的配置。（具體怎么配我不管你，不過你要是不詳細(xì)記錄，回頭查不到入侵者的IP可不要哭） 現(xiàn)在我們再假設(shè)（怎么老是假設(shè)呀，煩不煩？）別急呀，我不能為了寫這篇文章真的去黑掉一臺主機(jī)，所以只好假設(shè)了，我們假設(shè)一臺WEB服務(wù)器，開放了WWW服務(wù)，你是這臺服務(wù)器的系統(tǒng)管理員，已經(jīng)小心地配置了IIS，使用W3C擴(kuò)展的日志格式，并至少記錄了時(shí)間（Time）、客戶端IP（Client IP）、方法（Method）、URI資源(URI Stem)、URI查詢(URI Query)，協(xié)議狀態(tài)（Protocol Status)，我們用最近比較流行的Unicode漏洞來進(jìn)行分析：打開IE的窗口，在地址欄輸入：/scripts/.%c1% 1c./winnt/system32/cmd.exe?/c+dir 默認(rèn)的情況下你可以看到目錄列表（什么？你已經(jīng)做過安全配置了，看不到？恢復(fù)默認(rèn)安裝，我們要做個實(shí)驗(yàn)），讓我們來看看IIS的日志都記錄了些什么，打開Ex010318.log（Ex代表W3C擴(kuò)展格式，后面的一串?dāng)?shù)字代表日志的記錄日期）：07:42:58 GET /scripts/./winnt/system32cmd.exe /c+dir 200上面這行日志表示在格林威治時(shí)間07:42:58（就是北京時(shí)間23:42:58），有一個家伙（入侵者）從的IP在你的機(jī)器上利用Unicode漏洞（%c1%1c被解碼為，實(shí)際的情況會因?yàn)閃indows語言版本的不同而有略微的差別）運(yùn)行了cmd.exe，參數(shù)是/c dir，運(yùn)行結(jié)果成功（HTTP 200代表正確返回）。(哇，記錄得可真夠全的，以后不敢隨便亂玩Unicode了) 大多數(shù)情況下，IIS的日志會忠實(shí)地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊，這個我們以后再討論），所以，一個優(yōu)秀的系統(tǒng)管理員應(yīng)該擅長利用這點(diǎn)來發(fā)現(xiàn)入侵的企圖，從而保護(hù)自己的系統(tǒng)。但是，IIS的日志動輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日志分析軟件，用任何語言編寫一個日志分析軟件（其實(shí)就是文本過濾器）都非常簡單，不過考慮到一些實(shí)際情況（比如管理員不會寫程序，或者服務(wù)器上一時(shí)找不到日志分析軟件），我可以告訴大家一個簡單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的CMD命令：find Global.asa ex010318.log /i這個命令使用的是NT自帶的find.exe工具（所以不怕緊急情況找不著），可以輕松的從文本文件中找到你想過濾的字符串，Global.asa是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。因?yàn)槲覠o意把這篇文章寫成微軟的Help文檔，所以關(guān)于這個命令的其他參數(shù)以及它的增強(qiáng)版FindStr.exe的用法請去查看Win2000的幫助文件。 無論是基于日志分析軟件或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞（比如+.htr）以及未來將要出現(xiàn)的漏洞可能會調(diào)用的資源（比如Global.asa或者cmd.exe），通過過濾這張不斷更新的字符串表，一定可以盡早了解入侵者的行動。 需要提醒的是，使用任何日志分析軟件都會占用一定的系統(tǒng)資源，因此，對于IIS日志分析這樣低優(yōu)先級的任務(wù)，放在夜里空閑時(shí)自動執(zhí)行會比較合適，如果再寫一段腳本把過濾后的可疑文本發(fā)送給系統(tǒng)管理員，那就更加完美了。同時(shí)，如果敏感字符串表較大，過濾策略復(fù)雜，我建議還是用C寫一個專用程序會比較合算。 2、 基于安全日志的檢測 通過基于IIS日志的入侵監(jiān)測，我們能提前知道窺伺者的行蹤（如果你處理失當(dāng)，窺伺者隨時(shí)會變成入侵者），但是IIS日志不是萬能的，它在某種情況下甚至不能記錄來自80端口的入侵，根據(jù)我對IIS日志系統(tǒng)的分析，IIS只有在一個請求完成后才會寫入日志，換言之，如果一個請求中途失敗，日志文件中是不會有它的蹤影的（這里的中途失敗并不是指發(fā)生HTTP400錯誤這樣的情況，而是從TCP層上沒有完成HTTP請求，例如在POST大量數(shù)據(jù)時(shí)異常中斷），對于入侵者來說，就有可能繞過日志系統(tǒng)完成大量的活動。 而且，對于非80 Only的主機(jī)，入侵者也可以從其它的服務(wù)進(jìn)入服務(wù)器，因此，建立一套完整的安全監(jiān)測系統(tǒng)是非常必要的。 Win2000自帶了相當(dāng)強(qiáng)大的安全日志系統(tǒng)，從用戶登錄到特權(quán)的使用都有非常詳細(xì)的記錄，可惜的是，默認(rèn)安裝下安全審核是關(guān)閉的，以至于一些主機(jī)被黑后根本沒法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核，一般來說，登錄事件與賬戶管理是我們最關(guān)心的事件，同時(shí)打開成功和失敗審核非常必要，其他的審核也要打開失敗審核，這樣可以使得入侵者步步維艱，一不小心就會露出馬腳。僅僅打開安全審核并沒有完全解決問題，如果沒有很好的配置安全日志的大小及覆蓋方式，一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現(xiàn)。 設(shè)置了安全日志卻不去檢查跟沒有設(shè)置安全日志幾乎一樣糟糕（唯一的優(yōu)點(diǎn)是被黑了以后可以追查入侵者），所以，制定一個安全日志的檢查機(jī)制也是非常重要的，作為安全日志，推薦的檢查時(shí)間是每天上午，這是因?yàn)椋肭终呦矚g夜間行動（速度快呀，要不你入侵到一半的時(shí)候連不上了，那可是哭都哭不出來）上午上班第一件事正好看看日志有沒有異常，然后就可以放心去做其他的事了。如果你喜歡，也可以編寫腳本每天把安全日志作為郵件發(fā)送給你（別太相信這個了，要是哪個高手上去改了你的腳本，每天發(fā)送平安無事） 除了安全日志，系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權(quán)限，那么他一定會去清除痕跡的），在系統(tǒng)和應(yīng)用程序日志中也會留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。 3、文件訪問日志與關(guān)鍵文件保護(hù) 除了系統(tǒng)默認(rèn)的安全審核外，對于關(guān)鍵的文件，我們還要加設(shè)文件訪問日志，記錄對他們的訪問。 文件訪問有很多的選項(xiàng)：訪問、修改、執(zhí)行、新建、屬性更改.一般來說，關(guān)注訪問和修改就能起到很大的監(jiān)視作用。 例如，如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建，甚至部分重要文件的訪問（例如cmd.exe, net.exe，system32目錄），那么，入侵者就很難安放后門而不引起我們的注意，要注意的是，監(jiān)視的關(guān)鍵文件和項(xiàng)目不能太多，否則不僅增加系統(tǒng)負(fù)擔(dān)，還會擾亂日常的日志監(jiān)測工作 （哪個系統(tǒng)管理員有耐心每天看四、五千條垃圾日志？） 關(guān)鍵文件不僅僅指的是系統(tǒng)文件，還包括有可能對系統(tǒng)管理員/其他用戶構(gòu)成危害的任何文件，例如系統(tǒng)管理員的配置、桌面文件等等，這些都是有可能用來竊取系統(tǒng)管理員資料/密碼的。 4、 進(jìn)程監(jiān)控 進(jìn)程監(jiān)控技術(shù)是追蹤木馬后門的另一個有力武器，90%以上的木馬和后門是以進(jìn)程的形式存在的（也有以其他形式存在的木馬，參見揭開木馬的神秘面紗三），作為系統(tǒng)管理員，了解服務(wù)器上運(yùn)行的每個進(jìn)程是職責(zé)之一（否則不要說安全，連系統(tǒng)優(yōu)化都沒有辦法做），做一份每臺服務(wù)器運(yùn)行進(jìn)程的列表非常必要，能幫助管理員一眼就發(fā)現(xiàn)入侵進(jìn)程，異常的用戶進(jìn)程或者異常的資源占用都有可能是非法進(jìn)程。除了進(jìn)程外，DLL也是危險(xiǎn)的東西，例如把原本是exe類型的木馬改寫為dll后，使用rundll32運(yùn)行就比較具有迷惑性。 5、 注冊表校驗(yàn) 一般來說，木馬或者后門都會利用注冊表來再次運(yùn)行自己，所以，校驗(yàn)注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。一般來說，如果一個入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個鍵值（比如Run、Runonce等等），查找起來是相對容易的，但是對于可以自己編寫/改寫木馬的人來說，注冊表的任何地方都可以藏身，靠手工查找就沒有可能了。（注冊表藏身千變?nèi)f化，例如需要特別提出來的FakeGina技術(shù)，這種利用WINNT外嵌登錄DLL（Ginadll）來獲得用戶密碼的方法最近比較流行，一旦中招，登錄用戶的密碼就會被記錄無遺，具體的預(yù)防方法我這里就不介紹了。）應(yīng)對的方法是監(jiān)控注冊表的任何改動，這樣改寫注冊表的木馬就沒有辦法遁形了。監(jiān)控注冊表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能，一個監(jiān)控軟件加上定期對注冊表進(jìn)行備份，萬一注冊表被非授權(quán)修改，系統(tǒng)管理員也能在最短的時(shí)間內(nèi)恢復(fù)。 6、端口監(jiān)控 雖然說不使用端口的木馬已經(jīng)出現(xiàn)，但是大部分的后門和木馬還是使用TCP連接的，監(jiān)控端口的狀況對于由于種種原因不能封鎖端口的主機(jī)來說就是非常重要的了，我們這里不談使用NDIS網(wǎng)卡高級編程的IDS系統(tǒng)，對于系統(tǒng)管理員來說，了解自己服務(wù)器上開放的端口甚至比對進(jìn)程的監(jiān)控更加重要，常常使用netstat查看服務(wù)器的端口狀況是一個良好的習(xí)慣，但是并不能24小時(shí)這樣做，而且NT的安全日志有一個壞習(xí)慣，喜歡記錄機(jī)器名而不是IP（不知道比爾蓋子怎么想的），如果你既沒有防火墻又沒有入侵檢測軟件，倒是可以用腳本來進(jìn)行IP日志記錄的，看著這個命令： netstat -n -p tcp 10Netstat.log,這個命令每10秒鐘自動查看一次TCP的連接狀況，基于這個命令我們做一個Netlog.bat文件: time /tNetstat.log Netstat -n -p tcp 10Netstat.log 這個腳本將會自動記錄時(shí)間和TCP連接狀態(tài)，需要注意的是：如果網(wǎng)站訪問量比較大，這樣的操作是需要消耗一定的CPU時(shí)間的，而且日志文件將越來越大，所以請慎之又慎。（要是做個腳本就完美無缺，誰去買防火墻？:） 一旦發(fā)現(xiàn)異常的端口，可以使用特殊的程序來關(guān)聯(lián)端口、可執(zhí)行文件和進(jìn)程(如inzider就有這樣的功能，它可以發(fā)現(xiàn)服務(wù)器監(jiān)聽的端口并找出與該端口關(guān)聯(lián)的文件，inzider可以從下載到)，這樣無論是使用TCP還是UDP的木馬都無處藏身。 7、終端服務(wù)的日志監(jiān)控 單獨(dú)將終端服務(wù)（Terminal Service）的日志監(jiān)控分列出來是有原因的，微軟Win2000服務(wù)器版中自帶的終端服務(wù)Terminal Service是一個基于遠(yuǎn)程桌面協(xié)議（RDP）的工具，它的速度非?？?，也很穩(wěn)定，可以成為一個很好的遠(yuǎn)程管理軟件，但是因?yàn)檫@個軟件功能強(qiáng)大而且只受到密碼的保護(hù)，所以也非常的危險(xiǎn)，一旦入侵者擁有了管理員密碼，就能夠象本機(jī)一樣操作遠(yuǎn)程服務(wù)器（不需要高深的NT命令行技巧，不需要編寫特殊的腳本和程序，只要會用鼠標(biāo)就能進(jìn)行一切系統(tǒng)管理操作，實(shí)在是太方便、也實(shí)在是太可怕了）。雖然很多人都在使用終端服務(wù)來進(jìn)行遠(yuǎn)程管理，但是，并不是人人都知道如何對終端服務(wù)進(jìn)行審核，大多數(shù)的終端服務(wù)器上并沒有打開終端登錄的日志，其實(shí)打開日志審核是很容易的，在管理工具中打開遠(yuǎn)程控制服務(wù)配置（Terminal Service Configration），點(diǎn)擊連接，右擊你想配置的RDP服務(wù)（比如 RDP-TCP(Microsoft RDP 5.0)，選中書簽權(quán)限，點(diǎn)擊左下角的高級，看見上面那個審核了么？我們來加入一個Everyone組，這代表所有的用戶，然后審核他的連接、斷開、注銷的成功和登錄的成功和失敗就足夠了，審核太多了反而不好，這個審核是記錄在安全日志中的，可以從管理工具-日志查看器中查看。現(xiàn)在什么人什么時(shí)候登錄我都一清二楚了，可是美中不足的是：這個破爛玩藝居然不記錄客戶端的IP（只能查看在線用戶的IP），而是華而不實(shí)的記錄什么機(jī)器名，倒！要是別人起個PIG的機(jī)器名你只好受他的嘲弄了，不知道微軟是怎么想的，看來還是不能完全依賴微軟呀，我們自己來吧？寫個程序，一切搞定，你會C么？不會？VB呢？也不會？Delphi？什么？你什么編程語言都不會？我倒，畢竟系統(tǒng)管理員不是程序員呀，別急別急，我給你想辦法，我們來建立一個bat文件，叫做TSLog.bat，這個文件用來記錄登錄者的IP，內(nèi)容如下： time /t TSLog.log netstat -n -p tcp find :3389TSLog.log start Explorer 我來解釋一下這個文件的含義： 第一行是記錄用戶登錄的時(shí)間，time /t的意思是直接返回系統(tǒng)時(shí)間（如果不加/t，系統(tǒng)會等待你輸入新的時(shí)間），然后我們用追加符號把這個時(shí)間記入TSLog.log作為日志的時(shí)間字段； 第二行是記錄用戶的IP地址，netstat是用來顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令，-n表示顯示IP和端口而不是域名、協(xié)議，-ptcp是只顯示tcp協(xié)議，然后我們用管道符號把這個命令的結(jié)果輸出給find命令，從輸出結(jié)果中查找包含:3389的行（這就是我們要的客戶的IP所在的行，如果你更改了終端服務(wù)的端口，這個數(shù)值也要作相應(yīng)的更改），最后我們同樣把這個結(jié)果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，記錄格式如下： 22:40 TCP8:338923:4903ESTABLISHED 22:54