|
 | 作者: a_one [a_one]
 论坛用户 |
登录 |
| 浅谈windows2000入侵检测 因为工作需要,我就把别人写的些文章和我自己学习工作中的一点实际经验综合一下,写个windows2000入侵检测技术。我只对windows2000+iis系统较为熟悉,所以这篇文章只讲这方面的。有不对的,还请指出,谢谢了! 入侵检测,首先就是要发现入侵者。发现入侵者,有很多方法,主要靠管理员的经验和负责程度了。根据一些症状,我们可以大致判断系统被入侵。比如,某些文件的存取时间或者存取权限被改变,某些服务的启动时间明显和其他的服务不同等等。还有查看日志,日志只要查看系统日志,安全日志和应用程序日志。如果审核策略做的比较好的话,几乎能够记录到入侵者的一举一动。还有就是终端服务了,现在的入侵者一般都喜欢打开这个,而且在服务里面还是显示终端服务没有安装。如果入侵者不小心的话,会在他的配置文件里面留下大量的操作记录,配置文件默认存放在系统盘的Documents and Settings下面以用户名为目录。在这个目录下面有很多隐藏的目录,包括recent,Templates和Local Settings,他们有的还有下级目录。其中recent目录在发现通过终端登陆的入侵者极其有用,因为入侵者访问的目录,文件在这里全部都有记录。值得注意的是,入侵者有可能会修改他的配置文件存放地点!在我的客户的一台服务器上面,入侵者就把他的配置文件修改到了c:\winnt\temp下面,让我走了很多弯路。 下面就是入侵后的后门清除和数据恢复了,要清楚后门就必须了解它。在这里我对后门做些简单的介绍。现在可以说是到了后门极其丰富的时代,我只能尽力的解释一些自己知道的,有不对的地方,还请指点。按照我的观点,后门可以分为传统的shell后门,较新的脚本后门,以及最新的一些rootkit,还有我不知道该如何分类的克隆帐号。为了逃避杀毒软件和防火墙,传统的shell后门现在又都有了很多新的发展。其中可以分为基于嗅探的套接字后门,代表作有红客联盟(http://www.cnhonker.org/)站长lion的Ping Door V0.41,采用了监听特定的icmp数据包的办法,现在还有了小容(http://www.netxeyes.org/)的BITS和WinEggDrop的portless;基于进程插入的后门,代表作有WinEggDrop的WinEggDrop Shell系列版本;至于反向连接,现在已经成了后门必不可少的功能了,也就不多说了。较新的脚本后门主要是asp后门,perl后门和php后门了,我对asp了解多点,就主要谈谈asp后门。asp后门主要分为使用FileSystemObject组件和shell.application组件两种,由于asp脚本写作较为容易,所以变种较多,而且隐蔽性极强不易被查杀。不久前出现了一篇介绍利用iis缺陷配置后门的文章(http://haowawa.8866.org/wenzhai/list.asp?id=373),nvymask还为那个dll文件写了一个bat来安装,直接通过80端口得到system权限的shell,这个我觉得应该也算是脚本后门的一种。普通的asp后门最大的问题就是权限,但是受《IIS配置文件后门》这篇文章的影响,已经出现好几种改变asp脚本执行权限的方法,我以前写过类似的文章,这里就不详细描述了。至于rootkit,深入到系统内核加栽,以我目前的水平,还不足以弄明白,就不多说了,只知道有hxdef和ntrootkit两种。 明白了各种后门的原理,我就来说说清理方法。一般的传统后门都要打开特定的端口来等待入侵者连接,并且安装成系统服务来启动自己。比如独孤剑客的winshell默认打开5277端口,服务名默认是WinShell;WinEggDrop的WinEggDrop Shell默认端口是12345,默认服务名是Windows Internet Services。知道这些特征,对于检测后门有很大的帮助,虽然一般的入侵者都会修改这些信息,但是打开端口是跑不掉的。查找后门,最好是把进程和端口关联起来。这里,我推荐使用fport,功能极强,可以去http://www.foundstone.com免费下载得...恋囊桓龊冒旆ā?/a> 一般的脚本后门也能够利用杀毒软件查获到,仅对asp后门而言,一般的入侵者会更改asp脚本的启动权限,这样反而给了管理员一个查获asp后门的捷径。执行C:\Inetpub\AdminScripts目录下面的脚本cscript adsutil.vbs get w3svc/inprocessisapiapps,能够得到以system权限启动的dll文件。asp.dll默认是不在其 中的,如果在这里发现了asp.dll,那么几乎可以肯定被安装了asp后门。脚本后门的隐藏方式一般是使用和一些web文件相似的名字,查找的时候注意这样的可以事半功倍。而且对于基于FileSystemObject组件的asp木马,regsvr32 scrrun.dll /u /s就删除了FileSystemObject组件,对于基于shell.application组件的asp木马, 我们可以regsvr32 shell32.dll /u /s删除shell.application组件。特别的,在Internet 服务管理器里面删除一些用不着的映射,就能够有效的防止iis配置文件后门了。 最后要说的就是rootkit了,其实对这个我也不是很了解。RKDetectorv可以查出目前流行的一些rootkit,包括hxdef等,查杀原理我不是很清楚,安全焦点(http://www.xfocus.net/)有免费下载的。关于查杀rootkit,WinEggDrop提出了一种方法,基本原理是rootkit隐藏的服务都是无法对远程的枚举服务进行隐藏的,那我们只要对比一下远堂毒俪隼吹姆�务和本地枚举出来的服�?就能得到rootkit隐藏了的服务。他的文章在http://www.ph4nt0m.net/bbs/showthread.php?s=&threadid=31018可以看到。 清理了后门之后,就应该反省自己了!把系统设置不好的地方一一改正过来,并且作些详细认真的安全策略。首先要做的就是及时安装好各种补丁程序,禁用危险的服务。其次就是端口过滤,安全要求较高的还可以进行ip过滤。最后就是系统文件的权限设置了,尽量做得**些吧!对于一些比较危险的程序,比如cmd.exe,net.exe,ftp.exe,tftp.exe,ipconfig.exe,telnet.exe等等,让权限较低的用户不能有任何权限。 |
| 地主 发表时间: 04-06-18 14:26 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 浅谈windows2000入侵检测