Windows2000服务器入侵前兆检测方法技巧

• 二、对于FTP等服务入侵的前兆检测

  根据前面对于WWW服务入侵前兆的检测，我们可以照样来检测FTP或者其他服务（POP、SMTP等）。以FTP服务来举例，对于FTP服务，通常最初的扫描或者入侵必然是进行帐号的猜解。对于IIS提供的FTP服务，也跟WWW服务一样提供了详尽的日志记录（如果使用其他的FTP服务软件，它们也应该有相应的日志记录）。

  我们来分析这些日志：

  2002-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331
  2002-03-10 06:41:19 192.168.21.130 - [36]PASS - 530

  这表示用户名administrator请求登录，但是登录失败了。当在日志中出现大量的这些登录失败的记录，说明有人企图进行FTP的帐号猜解。这就是从FTP服务来入侵的入侵前兆。

  分析这些日志的方法也跟前面分析WWW服务的日志方法类似。因为FTP并不能进行帐号的枚举，所以，如果发现有攻击者猜测的用户名正好和你使用的帐号一致，那么就需要修改帐号并加强密码长度。

  三、系统帐号密码猜解入侵的前兆检测

  对于Windows 2000服务器来说，一个很大的威胁也来自系统帐号密码的猜解，因为如果配置不佳的服务器允许进行空会话的建立，这样，攻击者能够进行远程的帐号枚举等，然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立，攻击者同样能够进行系统帐号的猜测，因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名。那些黑客工具，比如“流光”等，就可以进行这样的密码猜测，通过常用密码或者进行密码穷举来破解系统帐号的密码。

  要检测通过系统帐号密码猜解的入侵，需要设置服务器安全策略，在审核策略中进行记录，需要审核记录的基本事件包括：审核登录事件、审核帐户登录事件、帐户管理事件。审核这些事件的“成功、失败”，然后我们可以从事件查看器中的安全日志查看这些审核记录。

  比如：如果我们在安全日志中发现了很多失败审核，就说明有人正在进行系统帐号的猜解。我们查看其中一条的详细内容，可以看到：

  登录失败：

  原因：用户名未知或密码错误

  用户名：administrator

  域：ALARM

  登录类型：3

  登录过程：NtLmSsp

  身份验证程序包：MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

  工作站名：REFDOM

  进行密码猜解的攻击者打算猜测系统帐号administrator的密码，攻击者的来源就是工作站名：REFDOM，这里记录是攻击者的计算机名而不是他的IP地址。

  当我们发现有人打算进行密码猜解的时候，就需要对相应的配置和策略进行修改。比如：对IP地址进行限制、修改被猜解密码的帐号的帐号名、加强帐号密码的长度等等来应对这样的入侵。

  四、终端服务入侵的前兆检测

  Windows2000 提供终端控制服务（Telminal Service），它是一个基于远程桌面协议（RDP）的工具，方便管理员进行远程控制，是一个非常好的远程控制工具。终端服务使用的界面化控制让管理员使用起来非常轻松而且方便，速度也非常快，这一样也让攻击者一样方便。而且以前终端服务存在输入法漏洞，可以绕过安全检查获得系统权限。对于打开终端服务的服务器来说，很多攻击者喜欢远程连接，看看服务器的样子（即使他们根本没有帐号）。

  对终端服务进行的入侵一般在系统帐号的猜解之后，攻击者利用猜解得到的帐号进行远程终端连接和登录。

  在管理工具中打开远程控制服务配置，点击"连接"，右击你想配置的RDP服务（比如 RDP-TCP(Microsoft RDP 5.0)，选中书签"权限"，点击"高级"，加入一个Everyone组，代表所有的用户，然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败，这个审核是记录在安全日志中的，可以从"管理工具"->"日志查看器"中查看。但是这个日志就象前面的系统密码猜解那样，记录的是客户端机器名而不是客户端的IP地址。我们可以做一个简单的批处理bat文件（文件名为TerminalLog.bat），用它来记录客户端的IP，文件内容是：

• 上一页 [1] [2] [3] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• Windows2000服务器入侵前兆检测方法技巧 相关文章：
• ·McAfee发布2008年十大安全威胁预测
• ·Mac+Win实测 Boot Camp还是虚拟机？
• ·上网冲浪选谁更好 七款主流网页浏览器评测
• ·经典：交换机故障检测检查表
• ·官方下载：XP SP3最新测试版
• ·IE8通过Web标准测试 明年推测试版
• ·挑战可靠性 6款文件加密软件残酷测试
• ·Websense发布2008年十大安全威胁预测
• ·完全防御DDoS攻击的实时监测模型
• ·趋势科技网络安全专家2008评测
• Windows2000服务器入侵前兆检测方法技巧 相关软件
• ·《DJMAX》公测6月14日歌曲补丁
• ·《英雄Ⅱ》技术封测客户端
• ·趣味测试小精灵
• ·《舞街区》公测版0.47-0.49版本补丁
• ·《DJMAX》公测最新客户端补丁
• ·《踢踢球》公测正式版完整客户端
• ·《天龙八部：霸气》公测客户端
• ·《封印传说》压测1.09补丁
• ·《合金战纪》大众用户封测客户端
• ·《合金战纪》绿色免安装版封测客户端

上一篇:新手入门：Ajax的JSP示例以及相关知识

下一篇:学会如何巧妙从进程中判断出病毒和木马

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐