骇客学堂：网络入侵检测初步探测方法(2)

　　4.进程监控

　　进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的。作为系统管理员，了解服务器上运行的每个进程是职责之一(否则不要说安全，连系统优化都没有办法做)。做一份每台服务器运行进程的列表非常必要，能帮助管理员一眼就发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，dll也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。

　　5.注册表校验

　　一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值(比如Run、Runonce等等)，查找起来是相对容易的，但是对于可以自己编写或改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了。应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。

　　6.端口监控

　　虽然说不使用端口的木马已经出现，但是大部分的后门和木马还是使用TCP连接的，监控端口的状况对于由于种种原因不能封锁端口的主机来说就是非常重要的了。对于系统管理员来说，了解自己服务器上开放的端口甚至比对进程的监控更加重要，常常使用netstat查看服务器的端口状况是一个良好的习惯，但是并不能24小时这样做，而且NT的安全日志有一个缺陷，喜欢记录机器名而不是IP，如果你既没有防火墙又没有入侵检测软件，倒是可以用脚本来进行IP日志记录的，看着这个命令:netstat -n -p tcp 10>>Netstat.log，这个命令每10秒钟自动查看一次TCP的连接状况，基于这个命令我们做一个Netlog.bat文件:time /t>>Netstat.log Netstat -n -p tcp 10>>Netstat.log。这个脚本将会自动记录时间和TCP连接状态，需要注意的是:如果网站访问量比较大，这样的操作是需要消耗一定的CPU时间的，而且日志文件将越来越大，所以请慎之又慎。

　　一旦发现异常的端口，可以使用特殊的程序来关联端口、可执行文件和进程(如inzider就有这样的功能，它可以发现服务器监听的端口并找出与该端口关联的文件，inzider可以从http://www.nttoolbox.com下载)，这样无论是使用TCP还是UDP的木马都无处藏身。

　　7.终端服务的日志监控

　　单独将终端服务(Terminal Service)的日志监控分列出来是有原因的，微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议(RDP)的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件，但是因为这个软件功能强大而且只受到密码的保护，所以也非常的危险，一旦入侵者拥有了管理员密码，就能够像本机一样操作远程服务器。虽然很多人都在使用终端服务来进行远程管理，但是，并不是人人都知道如何对终端服务进行审核。大多数的终端服务器上并没有打开终端登录的日志。其实打开日志审核是很容易的，在管理工具中打开远程控制服务配置(Terminal Service Configration)，点击“连接”，右击你想配置的RDP服务(比如RDP-TCP Microsoft RDP 5.0)，选中书签“权限”，点击左下角的“高级”，看见上面那个“审核”了么?我们来加入一个Everyone组，这代表所有的用户，然后审核它的“连接”、“断开”、“注销”的成功和“登录”的成功和失败就足够了。审核太多了反而不好，这个审核是记录在安全日志中的，可以从“管理工具”→“日志查看器”中查看。现在什么人什么时候登录我都一清二楚了，可是美中不足的是:这个破烂玩艺居然不记录客户端的IP(只能查看在线用户的IP)，而是华而不实地记录什么机器名，倒!要是别人起个PIG的机器名你只好受他的嘲弄了，不知道微软是怎么想的，看来还是不能完全依赖微软呀，我们自己来吧，写个程序，一切搞定，你会C么?不会?VB呢?也不会?Delphi?……什么?你什么编程语言都不会?我倒，毕竟系统管理员不是程序员呀，别急别急，我给你想办法，我们来建立一个bat文件，叫做TSLog.bat。这个文件用来记录登录者的IP，内容如下:time /t >>TSLog.log netstat -n -p tcp | find “:3389”>>TSLog.logstart Explorer。我来解释一下这个文件的含义:第一行是记录用户登录的时间，time /t的意思是直接返回系统时间(如果不加/t，系统会等待你输入新的时间)，然后我们用追加符号“>>”把这个时间记入TSLog.log作为日志的时间字段;第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议，然后我们用管道符号“|”把这个命令的结果输出给find命令，从输出结果中查找包含“?3389”的行(这就是我们要的客户的IP所在的行，如果你更改了终端服务的端口，这个数值也要作相应的更改)。最后我们同样把这个结果重定向到日志文件TSLog.log中去，于是在TSLog.log文件中，记录格式如下:

　　22:40 TCP　192.168.12.28:3389

　　192.168.10.123:4903　ESTABLISHED 22:54 TCP　192.168.12.28:338

　　192.168.12.29:1039　ESTABLISHED也就是说只要这个TSLog.bat文件一运行，所有连在3389端口上的IP都会被记录，那么如何让这个批处理文件自动运行呢?我们知道，终端服务允许我们为用户自定义起始的程序，在终端服务配置中，我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本(相当于shell环境)是Explorer(资源管理器)，所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer。如果不加这一行命令，用户是没有办法进入桌面的!当然，如果你只需要给用户特定的shell，例如:cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法，作为系统管理员，你完全可以自由发挥你的想象力、自由利用自己的资源，例如，写一个脚本把每个登录用户的IP发送到自己的信箱，对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限，所以他不会知道你对登录进行了IP审核，只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了。不过，需要注意的是这只是一个简单的终端服务日志策略，并没有太多的安全保障措施和权限机制。如果服务器有更高的安全要求，那还是需要通过编程或购买入侵监测软件来完成的。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有