教你如何看懂服務(wù)器日志
2017年08月25日
利用Windows自帶的防火墻日志檢測(cè)入侵
下面是一條防火墻日志記錄
2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980
2005-01-1300:35:04:表示記錄的日期時(shí)間
OPEN:表示打開(kāi)連接��;如果此處為Close表示關(guān)閉連接
TCP:表示使用的協(xié)議是Tcp
61.145.129.133:表示本地的IP
64.233.189.104:表示遠(yuǎn)程的IP
4959:表示本地的端口
80:表示遠(yuǎn)程的端口��。注:如果此處的端口為非80����、21等常用端口那你就要注意了。
每一條Open表示的記錄對(duì)應(yīng)的有一條CLOSE記錄�����,比較兩條記錄可以計(jì)算連接的時(shí)間��。
注意��,要使用該項(xiàng)�����,需要在Windows自帶的防火墻的安全日志選項(xiàng)中勾選“記錄成功的連接”選項(xiàng)。
二�����、通過(guò)IIS日志檢測(cè)入侵攻擊
1���、認(rèn)識(shí)IIS日志
IIS日志默認(rèn)存放在System32\LogFiles目錄下��,使用W3C擴(kuò)展格式���。下面我們通過(guò)一條日志記錄來(lái)認(rèn)識(shí)它的格式
2005-01-0316:44:57218.17.90.60GET/Default.aspx-80
-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000
2005-01-0316:44:57:是表示記錄的時(shí)間;
218.17.90.60:表示主機(jī)的IP地址�;
GET:表示獲取網(wǎng)頁(yè)的方法
/Default.aspx:表示瀏覽的網(wǎng)頁(yè)的名稱,如果此外的內(nèi)容不是你網(wǎng)站網(wǎng)頁(yè)的名稱����,那就表示可能有人在用注入
式攻擊對(duì)你的網(wǎng)站進(jìn)行測(cè)試。如:“/msadc/..蠟..蠟..蠟../winnt/system32/cmd.exe/c+dir”這段格式的
文字出現(xiàn)在瀏覽的網(wǎng)頁(yè)后面就表示有攻擊者嘗試能否進(jìn)入到你的系統(tǒng)目錄下���。
-80:表示服務(wù)器的端口��。
-218.17.90.60:表示客戶機(jī)的IP地址���。如果在某一時(shí)間或不同時(shí)間都有大量的同一IP對(duì)網(wǎng)站的連接那你
就要注意了。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322):表示用戶的瀏覽器的版本
操作系統(tǒng)的版本信息
200:表示瀏覽成功��,如果此處為304表示重定向���。如果此處為404則表示客戶端錯(cuò)誤未找到網(wǎng)頁(yè),如果服務(wù)器沒(méi)
有問(wèn)題但出現(xiàn)大量的404錯(cuò)誤也表示可能有人在用注入式攻擊對(duì)你的網(wǎng)站進(jìn)行測(cè)試��。
2���、檢測(cè)IIS日志的方法
明白了IIS日志的格式,就可以去尋找攻擊者的行蹤了��。但是人工檢查每一條數(shù)據(jù)幾乎是不可能的�,所以
我們可以利用Windows本身提供了一個(gè)命令findstr。下面以尋找05年1月1日日志中包含CMD字段為例演示
一下它的用法�����。IIS日志路徑已設(shè)為D\w3c
Cmd提示符下輸入:findstr"cmd"d\w3c\ex050101.log回車�。怎么同一個(gè)IP出現(xiàn)了很多,那你可要注意了�����!
下面是我寫(xiě)的幾個(gè)敏感字符,僅供參考�,你可以根據(jù)自己系統(tǒng)、網(wǎng)頁(yè)定制自己的敏感字符���,當(dāng)然如果你根據(jù)
這些字符作一個(gè)批處理命令就更方便了�����。
cmd�����、'���、\\、..���、;�、and����、webconfig、global�、
如果你感覺(jué)findstr功能不夠直觀強(qiáng)大�����,你可以AutoScanIISLogFilesV1.4工具。它使用圖形化界面
一次可以檢測(cè)多個(gè)文件��。下載地址:http://www.11k.net/Software/View-Software-1585.html
如果你感覺(jué)這些IIS日志中的信息記錄還不夠多���,那么你可以做一個(gè)隱藏網(wǎng)頁(yè)��,凡是登陸到網(wǎng)站上都會(huì)先定向到
該網(wǎng)頁(yè)�����,然后你可以在該網(wǎng)頁(yè)中添加代碼�,獲取用戶的IP�����、操作系統(tǒng)�、計(jì)算機(jī)名等信息。并將其輸入到數(shù)據(jù)庫(kù)
中���,這樣即使一個(gè)攻擊者使用動(dòng)態(tài)的IP只要他不換系統(tǒng)�����,即使刪除了IIS日志���,你也可以把他找出來(lái)��。
三�����、通過(guò)查看安全日志檢測(cè)是否有成功的入侵
如果你你啟用了登陸事件����、策略更改�、賬戶登陸、系統(tǒng)事件的成功失敗的審核���,那么任何成功的入侵都將
在安全日志中留下痕跡
推薦的作法:
1�����、建議每天最少檢查一次安全日志��。
推薦重點(diǎn)檢查的ID事件
529:登錄失敗���,試圖使用未知用戶名或帶有錯(cuò)誤密碼的已知用戶名進(jìn)行登錄�。
528:用戶成功登錄到計(jì)算機(jī)上�。
539:登錄失敗:登錄帳號(hào)在登錄嘗試時(shí)被鎖定��。此事件表明有人發(fā)動(dòng)密碼攻擊但未成功�����,因而導(dǎo)致賬戶鎖定
682:用戶重新連接到一個(gè)已經(jīng)斷開(kāi)連接的終端服務(wù)器會(huì)話上�。終端服務(wù)攻擊
683:用戶在沒(méi)有注銷的情況下與終端服務(wù)器會(huì)話斷開(kāi)連接����。終端服務(wù)攻擊
624:一個(gè)用戶帳號(hào)被創(chuàng)建。
625:更改了用戶賬戶類型
626:?jiǎn)⒂昧擞脩糍~戶
629:禁用了用戶賬戶
630:刪除了用戶賬戶
以上5個(gè)事件可能是一個(gè)攻擊者試圖通過(guò)禁用或刪除發(fā)動(dòng)攻擊時(shí)使用的賬戶來(lái)掩蓋他們的蹤跡�。
577:用戶試圖執(zhí)行受到權(quán)限保護(hù)的系統(tǒng)服務(wù)操作。
578:在已經(jīng)處于打開(kāi)狀態(tài)的受保護(hù)對(duì)象句柄上使用權(quán)限�。
577、578事件中詳細(xì)信息中特權(quán)說(shuō)明
SeTcbPrivilege特權(quán):此事件可以表明一個(gè)用戶通過(guò)充當(dāng)操作系統(tǒng)的一部分來(lái)試圖提升安全權(quán)限����,如一個(gè)用戶
試圖將其賬戶添加到管理員組就會(huì)使用此特權(quán)
SeSystemTimePrivilege特權(quán):更改系統(tǒng)時(shí)間。此事件可表明有一個(gè)用戶嘗試更改系統(tǒng)時(shí)間
SeRemoteShutDownPrivilege:從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)閉
SeloadDriverPrivilege:加載或卸載驅(qū)動(dòng)程序
SeSecurityPrivilege:管理審計(jì)和安全日志。在清除事件日志或向安全日志寫(xiě)入有關(guān)特權(quán)使用的事件是發(fā)生
SeShutDownPrivilege:關(guān)閉系統(tǒng)
SeTakeOwnershipPrivilege:取得文件或其他對(duì)象的所有權(quán).此事件可表明有一個(gè)攻擊者正在通過(guò)取得一個(gè)
對(duì)象的所有權(quán)來(lái)嘗試?yán)@過(guò)當(dāng)前的安全設(shè)置
517:日志事件被清除或修改���。此事件可以表明一個(gè)攻擊者企圖通過(guò)修改或刪除日志文件來(lái)掩蓋他們的蹤跡
612:更改了審計(jì)策略���。此事件可以表明一個(gè)攻擊者企圖通過(guò)修改審計(jì)策略來(lái)掩蓋他們的蹤跡
如為了掩蓋刪除日志文件的蹤跡他可能先關(guān)閉系統(tǒng)事件的審核。
2����、通過(guò)篩選器來(lái)查看重要性事件
方法:點(diǎn)擊事件查看器窗口中的查看菜單,點(diǎn)擊篩選����,點(diǎn)擊篩選器,定義自己的篩選選項(xiàng)�,確定即可。
3��、在查看完成之后備份事件
方法:點(diǎn)擊事件查看器窗口中的操作菜單��,點(diǎn)擊導(dǎo)出列表���,選擇保存路徑和文件名��,如果保存類型
選擇了“文本文件(制表符分隔)”�����,將會(huì)保存為文本文件���。如果保存類型
選擇了“文本文件(逗號(hào)分隔)”�,將會(huì)保存為Excel文件�����。
當(dāng)然也可以選擇另存日志文件���。
如果感覺(jué)這樣保存麻煩也可以使用微軟的resourceKit工具箱中的dumpel.exe配合計(jì)劃任務(wù)可以實(shí)現(xiàn)
定期備份系統(tǒng)日志。
4����、刪除檢查過(guò)的日志文件,日志文件越少越容易發(fā)現(xiàn)問(wèn)題��。
5����、配合系統(tǒng)日志程序日志檢測(cè)可疑內(nèi)容
6、使用EventCombMT工具
EventCombMT是一個(gè)功能強(qiáng)大的多線程工具��,它可同時(shí)分析許多服務(wù)器中的事件日志,為包含在搜索條件中的
每一臺(tái)服務(wù)器生成一個(gè)單獨(dú)的執(zhí)行線程�����。利用它你可以定義
要搜索的單個(gè)事件ID或多個(gè)事件ID���,用空格分格
定義一個(gè)要搜索的事件ID范圍��。如:528>ID<540
將搜索限定為特定的事件日志��。如:只搜索安全日志
將搜索限定為特定的事件消息�。如:成功審計(jì)
將搜索限制為特定的事件源���。
搜索事件說(shuō)明內(nèi)的特定文本��。
定義特定的時(shí)間間隔以便從當(dāng)前日期和時(shí)間向后掃描
注:要使用該工具您需要安裝WindowsServer2003ResourceKitTools.安裝完成后在命令提示符下輸入EventCombMT即可
下載地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
四�����、通過(guò)端口檢測(cè)入侵攻擊
端口是攻擊者最喜歡的進(jìn)入的大門(mén),所以我們要養(yǎng)成查看端口的習(xí)慣
1�、通過(guò)netstat命令�����。CMD提示符下
netstat-ano:檢測(cè)當(dāng)前開(kāi)放的端口,并顯示使用該端口程序的PID����。
netstat-n:檢測(cè)當(dāng)前活動(dòng)的連接
如果通過(guò)以上命令發(fā)現(xiàn)有不明的端口開(kāi)放了,不是中了木馬就是開(kāi)放新的服務(wù)�����。
處理方法:
打開(kāi)任務(wù)管理器����,在查看菜單下選擇列,勾選PID�,點(diǎn)擊確定。然后根據(jù)開(kāi)放端口使用的PID在任務(wù)管理器中
查找使用該端口的程序文件名���。在任務(wù)管理器殺掉該進(jìn)程。
如果任務(wù)管理器提示殺不掉���,可以使用ntsd命令��,格式如下:c:\>ntsd-cq-pPID����。
如果使用該P(yáng)ID的進(jìn)程不是單獨(dú)的程序文件而是調(diào)用的Svchost或lsass(現(xiàn)在有很多木馬可以做到這一點(diǎn))。那么
需要你有很志業(yè)的知識(shí)才能查找到���。我的經(jīng)驗(yàn)是下面的幾種方法配合使用
在服務(wù)中查找使用Svchost或lsass的可疑服務(wù)�。在命令提示符下輸入tasklist/svc可以查看進(jìn)程相關(guān)聯(lián)的
PID和服務(wù)��。
利用Windows優(yōu)化大師中的進(jìn)程管理去查找Svchost或lsass中可疑的.dll����。
檢查System32下最新文件:在命令提示符sytem32路徑下輸入dir/od
利用hijackthis工具可以查出系統(tǒng)啟動(dòng)的程序名和dll文件.下載地址:http://www.cl520.net/soft/3992.htm
發(fā)現(xiàn)可疑的dll后如果不知道是否為病毒文件去Google吧
2、使用ActivePort軟件
ActivePort軟件安裝后用的是圖形化界面���,它可以顯示所有開(kāi)放的端口����,當(dāng)前活動(dòng)的端口�����,并可以將端口�、
進(jìn)程、程序名路徑相關(guān)聯(lián)��。并且可以利用它來(lái)中斷某個(gè)活動(dòng)的連接
五����、通過(guò)進(jìn)程監(jiān)控可疑程序
如果發(fā)現(xiàn)不正常的進(jìn)程�����,及時(shí)殺掉����,如果在任務(wù)管理器中無(wú)法殺掉可以去查找可疑的服務(wù)�����,將服務(wù)關(guān)閉后
再殺���,當(dāng)然也可以在提示符下利用ntsd命令�。格式為:ntsd-cq-pPID
六���、利用Svcmon.exe(serviceMonitoringTool)監(jiān)視已安裝的服務(wù)
這個(gè)工具可以用來(lái)監(jiān)視本地或者是遠(yuǎn)程計(jì)算機(jī)服務(wù)的狀態(tài)改變�����,當(dāng)它發(fā)現(xiàn)一個(gè)服務(wù)開(kāi)始或者是停止的時(shí)候,
這個(gè)工具將會(huì)通過(guò)發(fā)e-mail或者是ExchangeServer來(lái)通知你知道��。要想使用這個(gè)工具需要安裝ResourceKit。
但是去MS的網(wǎng)站http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下載的ResourceKit安裝后沒(méi)有找到這個(gè)工具����,
其實(shí)還有很多工具這個(gè)ResourceKit沒(méi)有?��?赡苓@是一個(gè)簡(jiǎn)單的ResourceKit包��。后來(lái)又安裝了2003
光盤(pán)上的SupportTools也沒(méi)找到它�����。我使用了2000的
ResourceKit安裝光盤(pán)���,安裝后,在2003上一樣可以使用����。不過(guò)我用了后發(fā)現(xiàn)系統(tǒng)會(huì)不穩(wěn)定,所以最好找2003的ResourceKit安裝光盤(pán)�����。
這個(gè)工具由兩部分組成����,Svcmon.exe在你安裝好ResourceKit后�����,默認(rèn)的位于C:\ProgramFiles\ResourceKit
文件夾下�,你要將其拷貝到%SystemRoot%\System32下���,然后在命令提示符下輸入Smconfig將打開(kāi)
配置向?qū)?���。是圖形界面�,注意在ExchangeRecipients那里添如你要提醒的用戶的Email。其他的
按照指示做就可以了��。
如果發(fā)現(xiàn)有不正常的服務(wù)可以使用ResourceKit中的Instsrv.exe移除服務(wù)
使用格式:instsrvservicenameRemove
七���、檢測(cè)System32下的系統(tǒng)文件
在安裝好系統(tǒng)后和安裝新的軟件后對(duì)System32文件夾做備份�,然后用COMP命令定期檢查該文件的內(nèi)容查找
可疑的文件夾或文件��。COMP命令的使用格式為:命令提示符下
COMPdata1data2/L/C
data1指定要比較的第一個(gè)文件的位置和名稱�。
data2指定要比較的第二個(gè)文件的位置和名稱。
/L顯示不同的行數(shù)���。
/C比較文件時(shí)不分ASCII字母的大小寫(xiě)��。
注:MS的WinDiff工具可以圖形化比較兩個(gè)文件
八��、利用Drivers.exe來(lái)監(jiān)視已安裝的驅(qū)動(dòng)程序
現(xiàn)在有的攻擊者將木馬添加到驅(qū)動(dòng)程序中����,我們可以通過(guò)MS提供的Drivers工具來(lái)進(jìn)行檢測(cè)�。
在運(yùn)行此工具的計(jì)算機(jī)上,此工具會(huì)顯示安裝的所有設(shè)備驅(qū)動(dòng)程序�����。該工具的輸出包括一些信息�,其中
有驅(qū)動(dòng)程序的文件名、磁盤(pán)上驅(qū)動(dòng)程序的大小���,以及鏈接該驅(qū)動(dòng)程序的日期����。鏈接日期可識(shí)別任何新安
裝的驅(qū)動(dòng)程序����。如果某個(gè)更新的驅(qū)動(dòng)程序不是最近安裝的�,可能表示這是一個(gè)被替換的驅(qū)動(dòng)程序�����。
注:Drivers.exe工具在MS的的網(wǎng)站下載的WindowsServer2003ResourceKitTools中也沒(méi)有這個(gè)工具
我是使用的2000的���。
九�、檢查本地用戶和組
這個(gè)想來(lái)不用說(shuō)太多����,大家都知道的了,需要注意的一點(diǎn)是���,如果使用命令行的netuser來(lái)查看�����,將無(wú)法查看
到隱藏的用戶(即用戶名后加了$的)��,所以最好使用管理單元來(lái)查看所有用戶�����。
十�、檢查網(wǎng)頁(yè)文件,特別是有與數(shù)據(jù)庫(kù)連接的文件的日期���,現(xiàn)在有的攻擊者入侵后會(huì)在網(wǎng)頁(yè)代碼中留下后門(mén),
所以如果日期發(fā)了變化�����,那就要注意查看了����。
十一、附Server2003EnterpriseEdition安裝IIS和SQL2000后默認(rèn)啟動(dòng)的服務(wù)��、進(jìn)程��、端口
1��、已啟動(dòng)的服務(wù)
AutomaticUpdate���、COM+EventSystem�����、ComputerBrowser�、CryptographicServices、DHCPClient��、
DistributedfileSystem����、DistributedlinkTracking、Distributedtransaction�����、DNSClient��、
ErrorReporting����、Eventlog、HelpAndSupports���、IPSECServices�����、LogicalDiskManager���、
NetworkLocation�����、plugandplay��、PrintSpooler����、RemoteProcedureCall���、RemoteRegistry、
SecondaryLogon����、SecurityAccounts、Server�����、SystemEventNetification��、TaskScheduler�����、
TCP/IPNetBIOS、TerminalServices����、WindowsInstaller、WindowsManagementInstrumentation�、
WindowsTime、WirelessConfig�����、Workstation�����。
以下為安裝IIS(只有WEB服務(wù))后新加的啟動(dòng)的服務(wù)
AddService�、Com+systemapplication、HttpSSL��、IISAdminService�����、
networkconnections����、protectedstorage���、shellhardware、wordwideweb��。
以下為安裝SQL2000后新增加的已啟動(dòng)的服務(wù)
MicrosoftSearch����、NTLMSecurity、MSSQLServer
2����、已啟動(dòng)的進(jìn)程
ctfmon:admin���、wpabaln:admin��、explorer:admin����、wmiprvse�、dfssvc、msdtc:networkservice���、
sploolsv��、lsass���、conime:admin���、services、
svchost:7個(gè)其中l(wèi)ocalservice2個(gè)����、networkservice1個(gè)、winlogon���、csrss��、smss����、
system�、systemidleprocess。共計(jì):22個(gè)進(jìn)程����,其中admin���、networkservice、localservice表示用戶名
未注明的為System用戶
以下為安裝IIS后新增加的進(jìn)程
wpabaln:admin�、inetinfo、
以下為安裝SQL后新增加的進(jìn)程
mssearch��、sqlmangr����、wowexecadmin、sqlservr
3�、已開(kāi)啟的端口
TCP:135、445�����、1025��、1026���、139
udp:445、500�、1027、4500、123
以下為安裝IIS后新增加的端口
tcp:80��、8759注意8759這個(gè)端口是第一次安裝后自動(dòng)選擇的一個(gè)端口����,所以每臺(tái)機(jī)會(huì)不同
以下為安裝SQL后新增加的端口
tcp:1433
udp:68、1434
如果啟用防火墻后將開(kāi)啟以下端口
TCP:3001�、3002、3003
UDP:3004���、3005
一��、利用Windows自帶的防火墻日志檢測(cè)入侵
下面是一條防火墻日志記錄
2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980
2005-01-1300:35:04:表示記錄的日期時(shí)間
OPEN:表示打開(kāi)連接��;如果此處為Close表示關(guān)閉連接
TCP:表示使用的協(xié)議是Tcp
61.145.129.133:表示本地的IP
64.233.189.104:表示遠(yuǎn)程的IP
4959:表示本地的端口
80:表示遠(yuǎn)程的端口����。注:如果此處的端口為非80���、21等常用端口那你就要注意了�。
每一條Open表示的記錄對(duì)應(yīng)的有一條CLOSE記錄�,比較兩條記錄可以計(jì)算連接的時(shí)間。
注意�����,要使用該項(xiàng),需要在Windows自帶的防火墻的安全日志選項(xiàng)中勾選“記錄成功的連接”選項(xiàng)�。
二、通過(guò)IIS日志檢測(cè)入侵攻擊
1���、認(rèn)識(shí)IIS日志
IIS日志默認(rèn)存放在System32\LogFiles目錄下�����,使用W3C擴(kuò)展格式���。下面我們通過(guò)一條日志記錄來(lái)認(rèn)識(shí)它的格式
2005-01-0316:44:57218.17.90.60GET/Default.aspx-80
-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000
2005-01-0316:44:57:是表示記錄的時(shí)間;
218.17.90.60:表示主機(jī)的IP地址����;
GET:表示獲取網(wǎng)頁(yè)的方法
/Default.aspx:表示瀏覽的網(wǎng)頁(yè)的名稱,如果此外的內(nèi)容不是你網(wǎng)站網(wǎng)頁(yè)的名稱�,那就表示可能有人在用注入
式攻擊對(duì)你的網(wǎng)站進(jìn)行測(cè)試。如:“/msadc/..蠟..蠟..蠟../winnt/system32/cmd.exe/c+dir”這段格式的
文字出現(xiàn)在瀏覽的網(wǎng)頁(yè)后面就表示有攻擊者嘗試能否進(jìn)入到你的系統(tǒng)目錄下����。
-80:表示服務(wù)器的端口�����。
-218.17.90.60:表示客戶機(jī)的IP地址。如果在某一時(shí)間或不同時(shí)間都有大量的同一IP對(duì)網(wǎng)站的連接那你
就要注意了��。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322):表示用戶的瀏覽器的版本
操作系統(tǒng)的版本信息
200:表示瀏覽成功�,如果此處為304表示重定向。如果此處為404則表示客戶端錯(cuò)誤未找到網(wǎng)頁(yè),如果服務(wù)器沒(méi)
有問(wèn)題但出現(xiàn)大量的404錯(cuò)誤也表示可能有人在用注入式攻擊對(duì)你的網(wǎng)站進(jìn)行測(cè)試��。
2���、檢測(cè)IIS日志的方法
明白了IIS日志的格式����,就可以去尋找攻擊者的行蹤了���。但是人工檢查每一條數(shù)據(jù)幾乎是不可能的����,所以
我們可以利用Windows本身提供了一個(gè)命令findstr����。下面以尋找05年1月1日日志中包含CMD字段為例演示
一下它的用法。IIS日志路徑已設(shè)為D\w3c
Cmd提示符下輸入:findstr"cmd"d\w3c\ex050101.log回車�。怎么同一個(gè)IP出現(xiàn)了很多��,那你可要注意了��!
下面是我寫(xiě)的幾個(gè)敏感字符����,僅供參考����,你可以根據(jù)自己系統(tǒng)、網(wǎng)頁(yè)定制自己的敏感字符��,當(dāng)然如果你根據(jù)
這些字符作一個(gè)批處理命令就更方便了���。
cmd����、'�����、\\��、..�、;����、and�、webconfig����、global、
如果你感覺(jué)findstr功能不夠直觀強(qiáng)大���,你可以AutoScanIISLogFilesV1.4工具��。它使用圖形化界面
一次可以檢測(cè)多個(gè)文件��。下載地址:http://www.11k.net/Software/View-Software-1585.html
如果你感覺(jué)這些IIS日志中的信息記錄還不夠多�,那么你可以做一個(gè)隱藏網(wǎng)頁(yè)�����,凡是登陸到網(wǎng)站上都會(huì)先定向到
該網(wǎng)頁(yè)�,然后你可以在該網(wǎng)頁(yè)中添加代碼,獲取用戶的IP�、操作系統(tǒng)、計(jì)算機(jī)名等信息�����。并將其輸入到數(shù)據(jù)庫(kù)
中,這樣即使一個(gè)攻擊者使用動(dòng)態(tài)的IP只要他不換系統(tǒng)����,即使刪除了IIS日志,你也可以把他找出來(lái)����。
三、通過(guò)查看安全日志檢測(cè)是否有成功的入侵
如果你你啟用了登陸事件����、策略更改、賬戶登陸����、系統(tǒng)事件的成功失敗的審核,那么任何成功的入侵都將
在安全日志中留下痕跡
推薦的作法:
1����、建議每天最少檢查一次安全日志。
推薦重點(diǎn)檢查的ID事件
529:登錄失敗�,試圖使用未知用戶名或帶有錯(cuò)誤密碼的已知用戶名進(jìn)行登錄。
528:用戶成功登錄到計(jì)算機(jī)上����。
539:登錄失?���。旱卿泿ぬ?hào)在登錄嘗試時(shí)被鎖定���。此事件表明有人發(fā)動(dòng)密碼攻擊但未成功,因而導(dǎo)致賬戶鎖定
682:用戶重新連接到一個(gè)已經(jīng)斷開(kāi)連接的終端服務(wù)器會(huì)話上����。終端服務(wù)攻擊
683:用戶在沒(méi)有注銷的情況下與終端服務(wù)器會(huì)話斷開(kāi)連接。終端服務(wù)攻擊
624:一個(gè)用戶帳號(hào)被創(chuàng)建��。
625:更改了用戶賬戶類型
626:?jiǎn)⒂昧擞脩糍~戶
629:禁用了用戶賬戶
630:刪除了用戶賬戶
以上5個(gè)事件可能是一個(gè)攻擊者試圖通過(guò)禁用或刪除發(fā)動(dòng)攻擊時(shí)使用的賬戶來(lái)掩蓋他們的蹤跡����。
577:用戶試圖執(zhí)行受到權(quán)限保護(hù)的系統(tǒng)服務(wù)操作。
578:在已經(jīng)處于打開(kāi)狀態(tài)的受保護(hù)對(duì)象句柄上使用權(quán)限����。
577、578事件中詳細(xì)信息中特權(quán)說(shuō)明
SeTcbPrivilege特權(quán):此事件可以表明一個(gè)用戶通過(guò)充當(dāng)操作系統(tǒng)的一部分來(lái)試圖提升安全權(quán)限���,如一個(gè)用戶
試圖將其賬戶添加到管理員組就會(huì)使用此特權(quán)
SeSystemTimePrivilege特權(quán):更改系統(tǒng)時(shí)間����。此事件可表明有一個(gè)用戶嘗試更改系統(tǒng)時(shí)間
SeRemoteShutDownPrivilege:從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)閉
SeloadDriverPrivilege:加載或卸載驅(qū)動(dòng)程序
SeSecurityPrivilege:管理審計(jì)和安全日志。在清除事件日志或向安全日志寫(xiě)入有關(guān)特權(quán)使用的事件是發(fā)生
SeShutDownPrivilege:關(guān)閉系統(tǒng)
SeTakeOwnershipPrivilege:取得文件或其他對(duì)象的所有權(quán).此事件可表明有一個(gè)攻擊者正在通過(guò)取得一個(gè)
對(duì)象的所有權(quán)來(lái)嘗試?yán)@過(guò)當(dāng)前的安全設(shè)置
517:日志事件被清除或修改��。此事件可以表明一個(gè)攻擊者企圖通過(guò)修改或刪除日志文件來(lái)掩蓋他們的蹤跡
612:更改了審計(jì)策略�。此事件可以表明一個(gè)攻擊者企圖通過(guò)修改審計(jì)策略來(lái)掩蓋他們的蹤跡
如為了掩蓋刪除日志文件的蹤跡他可能先關(guān)閉系統(tǒng)事件的審核。
2����、通過(guò)篩選器來(lái)查看重要性事件
方法:點(diǎn)擊事件查看器窗口中的查看菜單,點(diǎn)擊篩選��,點(diǎn)擊篩選器���,定義自己的篩選選項(xiàng)����,確定即可�。
3、在查看完成之后備份事件
方法:點(diǎn)擊事件查看器窗口中的操作菜單�����,點(diǎn)擊導(dǎo)出列表,選擇保存路徑和文件名����,如果保存類型
選擇了“文本文件(制表符分隔)”,將會(huì)保存為文本文件���。如果保存類型
選擇了“文本文件(逗號(hào)分隔)”�����,將會(huì)保存為Excel文件。
當(dāng)然也可以選擇另存日志文件�����。
如果感覺(jué)這樣保存麻煩也可以使用微軟的resourceKit工具箱中的dumpel.exe配合計(jì)劃任務(wù)可以實(shí)現(xiàn)
定期備份系統(tǒng)日志����。
4、刪除檢查過(guò)的日志文件����,日志文件越少越容易發(fā)現(xiàn)問(wèn)題。
5�、配合系統(tǒng)日志程序日志檢測(cè)可疑內(nèi)容
6、使用EventCombMT工具
EventCombMT是一個(gè)功能強(qiáng)大的多線程工具,它可同時(shí)分析許多服務(wù)器中的事件日志�����,為包含在搜索條件中的
每一臺(tái)服務(wù)器生成一個(gè)單獨(dú)的執(zhí)行線程�����。利用它你可以定義
要搜索的單個(gè)事件ID或多個(gè)事件ID�����,用空格分格
定義一個(gè)要搜索的事件ID范圍����。如:528>ID<540
將搜索限定為特定的事件日志。如:只搜索安全日志
將搜索限定為特定的事件消息��。如:成功審計(jì)
將搜索限制為特定的事件源�����。
搜索事件說(shuō)明內(nèi)的特定文本���。
定義特定的時(shí)間間隔以便從當(dāng)前日期和時(shí)間向后掃描
注:要使用該工具您需要安裝WindowsServer2003ResourceKitTools.安裝完成后在命令提示符下輸入EventCombMT即可
下載地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
四�����、通過(guò)端口檢測(cè)入侵攻擊
端口是攻擊者最喜歡的進(jìn)入的大門(mén),所以我們要養(yǎng)成查看端口的習(xí)慣
1�、通過(guò)netstat命令。CMD提示符下
netstat-ano:檢測(cè)當(dāng)前開(kāi)放的端口���,并顯示使用該端口程序的PID�����。
netstat-n:檢測(cè)當(dāng)前活動(dòng)的連接
如果通過(guò)以上命令發(fā)現(xiàn)有不明的端口開(kāi)放了����,不是中了木馬就是開(kāi)放新的服務(wù)����。
處理方法:
打開(kāi)任務(wù)管理器���,在查看菜單下選擇列��,勾選PID���,點(diǎn)擊確定。然后根據(jù)開(kāi)放端口使用的PID在任務(wù)管理器中
查找使用該端口的程序文件名。在任務(wù)管理器殺掉該進(jìn)程��。
如果任務(wù)管理器提示殺不掉�����,可以使用ntsd命令��,格式如下:c:\>ntsd-cq-pPID����。
如果使用該P(yáng)ID的進(jìn)程不是單獨(dú)的程序文件而是調(diào)用的Svchost或lsass(現(xiàn)在有很多木馬可以做到這一點(diǎn))。那么
需要你有很志業(yè)的知識(shí)才能查找到����。我的經(jīng)驗(yàn)是下面的幾種方法配合使用
在服務(wù)中查找使用Svchost或lsass的可疑服務(wù)。在命令提示符下輸入tasklist/svc可以查看進(jìn)程相關(guān)聯(lián)的
PID和服務(wù)����。
利用Windows優(yōu)化大師中的進(jìn)程管理去查找Svchost或lsass中可疑的.dll。
檢查System32下最新文件:在命令提示符sytem32路徑下輸入dir/od
利用hijackthis工具可以查出系統(tǒng)啟動(dòng)的程序名和dll文件.下載地址:http://www.cl520.net/soft/3992.htm
發(fā)現(xiàn)可疑的dll后如果不知道是否為病毒文件去Google吧
2���、使用ActivePort軟件
ActivePort軟件安裝后用的是圖形化界面����,它可以顯示所有開(kāi)放的端口,當(dāng)前活動(dòng)的端口�����,并可以將端口�、
進(jìn)程、程序名路徑相關(guān)聯(lián)���。并且可以利用它來(lái)中斷某個(gè)活動(dòng)的連接
五���、通過(guò)進(jìn)程監(jiān)控可疑程序
如果發(fā)現(xiàn)不正常的進(jìn)程,及時(shí)殺掉��,如果在任務(wù)管理器中無(wú)法殺掉可以去查找可疑的服務(wù)���,將服務(wù)關(guān)閉后
再殺��,當(dāng)然也可以在提示符下利用ntsd命令。格式為:ntsd-cq-pPID
六����、利用Svcmon.exe(serviceMonitoringTool)監(jiān)視已安裝的服務(wù)
這個(gè)工具可以用來(lái)監(jiān)視本地或者是遠(yuǎn)程計(jì)算機(jī)服務(wù)的狀態(tài)改變,當(dāng)它發(fā)現(xiàn)一個(gè)服務(wù)開(kāi)始或者是停止的時(shí)候�����,
這個(gè)工具將會(huì)通過(guò)發(fā)e-mail或者是ExchangeServer來(lái)通知你知道。要想使用這個(gè)工具需要安裝ResourceKit��。
但是去MS的網(wǎng)站http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下載的ResourceKit安裝后沒(méi)有找到這個(gè)工具���,
其實(shí)還有很多工具這個(gè)ResourceKit沒(méi)有�����?�?赡苓@是一個(gè)簡(jiǎn)單的ResourceKit包�����。后來(lái)又安裝了2003
光盤(pán)上的SupportTools也沒(méi)找到它�����。我使用了2000的
ResourceKit安裝光盤(pán)��,安裝后���,在2003上一樣可以使用��。不過(guò)我用了后發(fā)現(xiàn)系統(tǒng)會(huì)不穩(wěn)定���,所以最好找2003的ResourceKit安裝光盤(pán)。
這個(gè)工具由兩部分組成�����,Svcmon.exe在你安裝好ResourceKit后���,默認(rèn)的位于C:\ProgramFiles\ResourceKit
文件夾下���,你要將其拷貝到%SystemRoot%\System32下,然后在命令提示符下輸入Smconfig將打開(kāi)
配置向?qū)?��。是圖形界面��,注意在ExchangeRecipients那里添如你要提醒的用戶的Email����。其他的
按照指示做就可以了�����。
如果發(fā)現(xiàn)有不正常的服務(wù)可以使用ResourceKit中的Instsrv.exe移除服務(wù)
使用格式:instsrvservicenameRemove
七����、檢測(cè)System32下的系統(tǒng)文件
在安裝好系統(tǒng)后和安裝新的軟件后對(duì)System32文件夾做備份,然后用COMP命令定期檢查該文件的內(nèi)容查找
可疑的文件夾或文件���。COMP命令的使用格式為:命令提示符下
COMPdata1data2/L/C
data1指定要比較的第一個(gè)文件的位置和名稱�。
data2指定要比較的第二個(gè)文件的位置和名稱�����。
/L顯示不同的行數(shù)����。
/C比較文件時(shí)不分ASCII字母的大小寫(xiě)。
注:MS的WinDiff工具可以圖形化比較兩個(gè)文件
八�����、利用Drivers.exe來(lái)監(jiān)視已安裝的驅(qū)動(dòng)程序
現(xiàn)在有的攻擊者將木馬添加到驅(qū)動(dòng)程序中���,我們可以通過(guò)MS提供的Drivers工具來(lái)進(jìn)行檢測(cè)�。
在運(yùn)行此工具的計(jì)算機(jī)上�����,此工具會(huì)顯示安裝的所有設(shè)備驅(qū)動(dòng)程序。該工具的輸出包括一些信息��,其中
有驅(qū)動(dòng)程序的文件名����、磁盤(pán)上驅(qū)動(dòng)程序的大小,以及鏈接該驅(qū)動(dòng)程序的日期����。鏈接日期可識(shí)別任何新安
裝的驅(qū)動(dòng)程序。如果某個(gè)更新的驅(qū)動(dòng)程序不是最近安裝的���,可能表示這是一個(gè)被替換的驅(qū)動(dòng)程序����。
注:Drivers.exe工具在MS的的網(wǎng)站下載的WindowsServer2003ResourceKitTools中也沒(méi)有這個(gè)工具
我是使用的2000的�。
九、檢查本地用戶和組
這個(gè)想來(lái)不用說(shuō)太多��,大家都知道的了�����,需要注意的一點(diǎn)是,如果使用命令行的netuser來(lái)查看��,將無(wú)法查看
到隱藏的用戶(即用戶名后加了$的)��,所以最好使用管理單元來(lái)查看所有用戶����。
十�����、檢查網(wǎng)頁(yè)文件����,特別是有與數(shù)據(jù)庫(kù)連接的文件的日期,現(xiàn)在有的攻擊者入侵后會(huì)在網(wǎng)頁(yè)代碼中留下后門(mén)�����,
所以如果日期發(fā)了變化���,那就要注意查看了�。
十一、附Server2003EnterpriseEdition安裝IIS和SQL2000后默認(rèn)啟動(dòng)的服務(wù)����、進(jìn)程、端口
1��、已啟動(dòng)的服務(wù)
AutomaticUpdate���、COM+EventSystem���、ComputerBrowser、CryptographicServices��、DHCPClient�����、
DistributedfileSystem���、DistributedlinkTracking���、Distributedtransaction、DNSClient�����、
ErrorReporting、Eventlog����、HelpAndSupports、IPSECServices����、LogicalDiskManager���、
NetworkLocation���、plugandplay、PrintSpooler����、RemoteProcedureCall、RemoteRegistry����、
SecondaryLogon、SecurityAccounts�����、Server、SystemEventNetification��、TaskScheduler�����、
TCP/IPNetBIOS���、TerminalServices����、WindowsInstaller��、WindowsManagementInstrumentation����、
WindowsTime、WirelessConfig����、Workstation。
以下為安裝IIS(只有WEB服務(wù))后新加的啟動(dòng)的服務(wù)
AddService�、Com+systemapplication�、HttpSSL����、IISAdminService、
networkconnections�、protectedstorage、shellhardware���、wordwideweb�。
以下為安裝SQL2000后新增加的已啟動(dòng)的服務(wù)
MicrosoftSearch����、NTLMSecurity����、MSSQLServer
2、已啟動(dòng)的進(jìn)程
ctfmon:admin�、wpabaln:admin、explorer:admin�����、wmiprvse����、dfssvc�����、msdtc:networkservice����、
sploolsv�����、lsass�����、conime:admin����、services、
svchost:7個(gè)其中l(wèi)ocalservice2個(gè)�����、networkservice1個(gè)���、winlogon����、csrss、smss��、
system���、systemidleprocess�。共計(jì):22個(gè)進(jìn)程�����,其中admin����、networkservice�����、localservice表示用戶名
未注明的為System用戶
以下為安裝IIS后新增加的進(jìn)程
wpabaln:admin�、inetinfo、
以下為安裝SQL后新增加的進(jìn)程
mssearch�、sqlmangr�����、wowexecadmin���、sqlservr
3、已開(kāi)啟的端口
TCP:135���、445����、1025���、1026���、139
udp:445、500�����、1027�、4500、123
以下為安裝IIS后新增加的端口
tcp:80、8759注意8759這個(gè)端口是第一次安裝后自動(dòng)選擇的一個(gè)端口���,所以每臺(tái)機(jī)會(huì)不同
以下為安裝SQL后新增加的端口
tcp:1433
udp:68�、1434
如果啟用防火墻后將開(kāi)啟以下端口
TCP:3001�、3002、3003
UDP:3004�����、3005
