2017年08月25日
利用Windows自帶的防火墻日志檢測入侵
下面是一條防火墻日志記錄
2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980
2005-01-1300:35:04:表示記錄的日期時間
OPEN:表示打開連接;如果此處為Close表示關閉連接
TCP:表示使用的協議是Tcp
61.145.129.133:表示本地的IP
64.233.189.104:表示遠程的IP
4959:表示本地的端口
80:表示遠程的端口。注:如果此處的端口為非80、21等常用端口那你就要注意了。
每一條Open表示的記錄對應的有一條CLOSE記錄,比較兩條記錄可以計算連接的時間。
注意,要使用該項,需要在Windows自帶的防火墻的安全日志選項中勾選“記錄成功的連接”選項。
二、通過IIS日志檢測入侵攻擊
1、認識IIS日志
IIS日志默認存放在System32\LogFiles目錄下,使用W3C擴展格式。下面我們通過一條日志記錄來認識它的格式
2005-01-0316:44:57218.17.90.60GET/Default.aspx-80
-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000
2005-01-0316:44:57:是表示記錄的時間;
218.17.90.60:表示主機的IP地址;
GET:表示獲取網頁的方法
/Default.aspx:表示瀏覽的網頁的名稱,如果此外的內容不是你網站網頁的名稱,那就表示可能有人在用注入
式攻擊對你的網站進行測試。如:“/msadc/..蠟..蠟..蠟../winnt/system32/cmd.exe/c+dir”這段格式的
文字出現在瀏覽的網頁后面就表示有攻擊者嘗試能否進入到你的系統目錄下。
-80:表示服務器的端口。
-218.17.90.60:表示客戶機的IP地址。如果在某一時間或不同時間都有大量的同一IP對網站的連接那你
就要注意了。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322):表示用戶的瀏覽器的版本
操作系統的版本信息
200:表示瀏覽成功,如果此處為304表示重定向。如果此處為404則表示客戶端錯誤未找到網頁,如果服務器沒
有問題但出現大量的404錯誤也表示可能有人在用注入式攻擊對你的網站進行測試。
2、檢測IIS日志的方法
明白了IIS日志的格式,就可以去尋找攻擊者的行蹤了。但是人工檢查每一條數據幾乎是不可能的,所以
我們可以利用Windows本身提供了一個命令findstr。下面以尋找05年1月1日日志中包含CMD字段為例演示
一下它的用法。IIS日志路徑已設為D\w3c
Cmd提示符下輸入:findstr"cmd"d\w3c\ex050101.log回車。怎么同一個IP出現了很多,那你可要注意了!
下面是我寫的幾個敏感字符,僅供參考,你可以根據自己系統、網頁定制自己的敏感字符,當然如果你根據
這些字符作一個批處理命令就更方便了。
cmd、'、\\、..、;、and、webconfig、global、
如果你感覺findstr功能不夠直觀強大,你可以AutoScanIISLogFilesV1.4工具。它使用圖形化界面
一次可以檢測多個文件。下載地址:http://www.11k.net/Software/View-Software-1585.html
如果你感覺這些IIS日志中的信息記錄還不夠多,那么你可以做一個隱藏網頁,凡是登陸到網站上都會先定向到
該網頁,然后你可以在該網頁中添加代碼,獲取用戶的IP、操作系統、計算機名等信息。并將其輸入到數據庫
中,這樣即使一個攻擊者使用動態的IP只要他不換系統,即使刪除了IIS日志,你也可以把他找出來。
三、通過查看安全日志檢測是否有成功的入侵
如果你你啟用了登陸事件、策略更改、賬戶登陸、系統事件的成功失敗的審核,那么任何成功的入侵都將
在安全日志中留下痕跡
推薦的作法:
1、建議每天最少檢查一次安全日志。
推薦重點檢查的ID事件
529:登錄失敗,試圖使用未知用戶名或帶有錯誤密碼的已知用戶名進行登錄。
528:用戶成功登錄到計算機上。
539:登錄失敗:登錄帳號在登錄嘗試時被鎖定。此事件表明有人發動密碼攻擊但未成功,因而導致賬戶鎖定
682:用戶重新連接到一個已經斷開連接的終端服務器會話上。終端服務攻擊
683:用戶在沒有注銷的情況下與終端服務器會話斷開連接。終端服務攻擊
624:一個用戶帳號被創建。
625:更改了用戶賬戶類型
626:啟用了用戶賬戶
629:禁用了用戶賬戶
630:刪除了用戶賬戶
以上5個事件可能是一個攻擊者試圖通過禁用或刪除發動攻擊時使用的賬戶來掩蓋他們的蹤跡。
577:用戶試圖執行受到權限保護的系統服務操作。
578:在已經處于打開狀態的受保護對象句柄上使用權限。
577、578事件中詳細信息中特權說明
SeTcbPrivilege特權:此事件可以表明一個用戶通過充當操作系統的一部分來試圖提升安全權限,如一個用戶
試圖將其賬戶添加到管理員組就會使用此特權
SeSystemTimePrivilege特權:更改系統時間。此事件可表明有一個用戶嘗試更改系統時間
SeRemoteShutDownPrivilege:從遠程系統強制關閉
SeloadDriverPrivilege:加載或卸載驅動程序
SeSecurityPrivilege:管理審計和安全日志。在清除事件日志或向安全日志寫入有關特權使用的事件是發生
SeShutDownPrivilege:關閉系統
SeTakeOwnershipPrivilege:取得文件或其他對象的所有權.此事件可表明有一個攻擊者正在通過取得一個
對象的所有權來嘗試繞過當前的安全設置
517:日志事件被清除或修改。此事件可以表明一個攻擊者企圖通過修改或刪除日志文件來掩蓋他們的蹤跡
612:更改了審計策略。此事件可以表明一個攻擊者企圖通過修改審計策略來掩蓋他們的蹤跡
如為了掩蓋刪除日志文件的蹤跡他可能先關閉系統事件的審核。
2、通過篩選器來查看重要性事件
方法:點擊事件查看器窗口中的查看菜單,點擊篩選,點擊篩選器,定義自己的篩選選項,確定即可。
3、在查看完成之后備份事件
方法:點擊事件查看器窗口中的操作菜單,點擊導出列表,選擇保存路徑和文件名,如果保存類型
選擇了“文本文件(制表符分隔)”,將會保存為文本文件。如果保存類型
選擇了“文本文件(逗號分隔)”,將會保存為Excel文件。
當然也可以選擇另存日志文件。
如果感覺這樣保存麻煩也可以使用微軟的resourceKit工具箱中的dumpel.exe配合計劃任務可以實現
定期備份系統日志。
4、刪除檢查過的日志文件,日志文件越少越容易發現問題。
5、配合系統日志程序日志檢測可疑內容
6、使用EventCombMT工具
EventCombMT是一個功能強大的多線程工具,它可同時分析許多服務器中的事件日志,為包含在搜索條件中的
每一臺服務器生成一個單獨的執行線程。利用它你可以定義
要搜索的單個事件ID或多個事件ID,用空格分格
定義一個要搜索的事件ID范圍。如:528>ID<540
將搜索限定為特定的事件日志。如:只搜索安全日志
將搜索限定為特定的事件消息。如:成功審計
將搜索限制為特定的事件源。
搜索事件說明內的特定文本。
定義特定的時間間隔以便從當前日期和時間向后掃描
注:要使用該工具您需要安裝WindowsServer2003ResourceKitTools.安裝完成后在命令提示符下輸入EventCombMT即可
下載地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
四、通過端口檢測入侵攻擊
端口是攻擊者最喜歡的進入的大門,所以我們要養成查看端口的習慣
1、通過netstat命令。CMD提示符下
netstat-ano:檢測當前開放的端口,并顯示使用該端口程序的PID。
netstat-n:檢測當前活動的連接
如果通過以上命令發現有不明的端口開放了,不是中了木馬就是開放新的服務。
處理方法:
打開任務管理器,在查看菜單下選擇列,勾選PID,點擊確定。然后根據開放端口使用的PID在任務管理器中
查找使用該端口的程序文件名。在任務管理器殺掉該進程。
如果任務管理器提示殺不掉,可以使用ntsd命令,格式如下:c:\>ntsd-cq-pPID。
如果使用該PID的進程不是單獨的程序文件而是調用的Svchost或lsass(現在有很多木馬可以做到這一點)。那么
需要你有很志業的知識才能查找到。我的經驗是下面的幾種方法配合使用
在服務中查找使用Svchost或lsass的可疑服務。在命令提示符下輸入tasklist/svc可以查看進程相關聯的
PID和服務。
利用Windows優化大師中的進程管理去查找Svchost或lsass中可疑的.dll。
檢查System32下最新文件:在命令提示符sytem32路徑下輸入dir/od
利用hijackthis工具可以查出系統啟動的程序名和dll文件.下載地址:http://www.cl520.net/soft/3992.htm
發現可疑的dll后如果不知道是否為病毒文件去Google吧
2、使用ActivePort軟件
ActivePort軟件安裝后用的是圖形化界面,它可以顯示所有開放的端口,當前活動的端口,并可以將端口、
進程、程序名路徑相關聯。并且可以利用它來中斷某個活動的連接
五、通過進程監控可疑程序
如果發現不正常的進程,及時殺掉,如果在任務管理器中無法殺掉可以去查找可疑的服務,將服務關閉后
再殺,當然也可以在提示符下利用ntsd命令。格式為:ntsd-cq-pPID
六、利用Svcmon.exe(serviceMonitoringTool)監視已安裝的服務
這個工具可以用來監視本地或者是遠程計算機服務的狀態改變,當它發現一個服務開始或者是停止的時候,
這個工具將會通過發e-mail或者是ExchangeServer來通知你知道。要想使用這個工具需要安裝ResourceKit。
但是去MS的網站http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下載的ResourceKit安裝后沒有找到這個工具,
其實還有很多工具這個ResourceKit沒有。可能這是一個簡單的ResourceKit包。后來又安裝了2003
光盤上的SupportTools也沒找到它。我使用了2000的
ResourceKit安裝光盤,安裝后,在2003上一樣可以使用。不過我用了后發現系統會不穩定,所以最好找2003的ResourceKit安裝光盤。
這個工具由兩部分組成,Svcmon.exe在你安裝好ResourceKit后,默認的位于C:\ProgramFiles\ResourceKit
文件夾下,你要將其拷貝到%SystemRoot%\System32下,然后在命令提示符下輸入Smconfig將打開
配置向導。是圖形界面,注意在ExchangeRecipients那里添如你要提醒的用戶的Email。其他的
按照指示做就可以了。
如果發現有不正常的服務可以使用ResourceKit中的Instsrv.exe移除服務
使用格式:instsrvservicenameRemove
七、檢測System32下的系統文件
在安裝好系統后和安裝新的軟件后對System32文件夾做備份,然后用COMP命令定期檢查該文件的內容查找
可疑的文件夾或文件。COMP命令的使用格式為:命令提示符下
COMPdata1data2/L/C
data1指定要比較的第一個文件的位置和名稱。
data2指定要比較的第二個文件的位置和名稱。
/L顯示不同的行數。
/C比較文件時不分ASCII字母的大小寫。
注:MS的WinDiff工具可以圖形化比較兩個文件
八、利用Drivers.exe來監視已安裝的驅動程序
現在有的攻擊者將木馬添加到驅動程序中,我們可以通過MS提供的Drivers工具來進行檢測。
在運行此工具的計算機上,此工具會顯示安裝的所有設備驅動程序。該工具的輸出包括一些信息,其中
有驅動程序的文件名、磁盤上驅動程序的大小,以及鏈接該驅動程序的日期。鏈接日期可識別任何新安
裝的驅動程序。如果某個更新的驅動程序不是最近安裝的,可能表示這是一個被替換的驅動程序。
注:Drivers.exe工具在MS的的網站下載的WindowsServer2003ResourceKitTools中也沒有這個工具
我是使用的2000的。
九、檢查本地用戶和組
這個想來不用說太多,大家都知道的了,需要注意的一點是,如果使用命令行的netuser來查看,將無法查看
到隱藏的用戶(即用戶名后加了$的),所以最好使用管理單元來查看所有用戶。
十、檢查網頁文件,特別是有與數據庫連接的文件的日期,現在有的攻擊者入侵后會在網頁代碼中留下后門,
所以如果日期發了變化,那就要注意查看了。
十一、附Server2003EnterpriseEdition安裝IIS和SQL2000后默認啟動的服務、進程、端口
1、已啟動的服務
AutomaticUpdate、COM+EventSystem、ComputerBrowser、CryptographicServices、DHCPClient、
DistributedfileSystem、DistributedlinkTracking、Distributedtransaction、DNSClient、
ErrorReporting、Eventlog、HelpAndSupports、IPSECServices、LogicalDiskManager、
NetworkLocation、plugandplay、PrintSpooler、RemoteProcedureCall、RemoteRegistry、
SecondaryLogon、SecurityAccounts、Server、SystemEventNetification、TaskScheduler、
TCP/IPNetBIOS、TerminalServices、WindowsInstaller、WindowsManagementInstrumentation、
WindowsTime、WirelessConfig、Workstation。
以下為安裝IIS(只有WEB服務)后新加的啟動的服務
AddService、Com+systemapplication、HttpSSL、IISAdminService、
networkconnections、protectedstorage、shellhardware、wordwideweb。
以下為安裝SQL2000后新增加的已啟動的服務
MicrosoftSearch、NTLMSecurity、MSSQLServer
2、已啟動的進程
ctfmon:admin、wpabaln:admin、explorer:admin、wmiprvse、dfssvc、msdtc:networkservice、
sploolsv、lsass、conime:admin、services、
svchost:7個其中localservice2個、networkservice1個、winlogon、csrss、smss、
system、systemidleprocess。共計:22個進程,其中admin、networkservice、localservice表示用戶名
未注明的為System用戶
以下為安裝IIS后新增加的進程
wpabaln:admin、inetinfo、
以下為安裝SQL后新增加的進程
mssearch、sqlmangr、wowexecadmin、sqlservr
3、已開啟的端口
TCP:135、445、1025、1026、139
udp:445、500、1027、4500、123
以下為安裝IIS后新增加的端口
tcp:80、8759注意8759這個端口是第一次安裝后自動選擇的一個端口,所以每臺機會不同
以下為安裝SQL后新增加的端口
tcp:1433
udp:68、1434
如果啟用防火墻后將開啟以下端口
TCP:3001、3002、3003
UDP:3004、3005
一、利用Windows自帶的防火墻日志檢測入侵
下面是一條防火墻日志記錄
2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980
2005-01-1300:35:04:表示記錄的日期時間
OPEN:表示打開連接;如果此處為Close表示關閉連接
TCP:表示使用的協議是Tcp
61.145.129.133:表示本地的IP
64.233.189.104:表示遠程的IP
4959:表示本地的端口
80:表示遠程的端口。注:如果此處的端口為非80、21等常用端口那你就要注意了。
每一條Open表示的記錄對應的有一條CLOSE記錄,比較兩條記錄可以計算連接的時間。
注意,要使用該項,需要在Windows自帶的防火墻的安全日志選項中勾選“記錄成功的連接”選項。
二、通過IIS日志檢測入侵攻擊
1、認識IIS日志
IIS日志默認存放在System32\LogFiles目錄下,使用W3C擴展格式。下面我們通過一條日志記錄來認識它的格式
2005-01-0316:44:57218.17.90.60GET/Default.aspx-80
-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000
2005-01-0316:44:57:是表示記錄的時間;
218.17.90.60:表示主機的IP地址;
GET:表示獲取網頁的方法
/Default.aspx:表示瀏覽的網頁的名稱,如果此外的內容不是你網站網頁的名稱,那就表示可能有人在用注入
式攻擊對你的網站進行測試。如:“/msadc/..蠟..蠟..蠟../winnt/system32/cmd.exe/c+dir”這段格式的
文字出現在瀏覽的網頁后面就表示有攻擊者嘗試能否進入到你的系統目錄下。
-80:表示服務器的端口。
-218.17.90.60:表示客戶機的IP地址。如果在某一時間或不同時間都有大量的同一IP對網站的連接那你
就要注意了。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322):表示用戶的瀏覽器的版本
操作系統的版本信息
200:表示瀏覽成功,如果此處為304表示重定向。如果此處為404則表示客戶端錯誤未找到網頁,如果服務器沒
有問題但出現大量的404錯誤也表示可能有人在用注入式攻擊對你的網站進行測試。
2、檢測IIS日志的方法
明白了IIS日志的格式,就可以去尋找攻擊者的行蹤了。但是人工檢查每一條數據幾乎是不可能的,所以
我們可以利用Windows本身提供了一個命令findstr。下面以尋找05年1月1日日志中包含CMD字段為例演示
一下它的用法。IIS日志路徑已設為D\w3c
Cmd提示符下輸入:findstr"cmd"d\w3c\ex050101.log回車。怎么同一個IP出現了很多,那你可要注意了!
下面是我寫的幾個敏感字符,僅供參考,你可以根據自己系統、網頁定制自己的敏感字符,當然如果你根據
這些字符作一個批處理命令就更方便了。
cmd、'、\\、..、;、and、webconfig、global、
如果你感覺findstr功能不夠直觀強大,你可以AutoScanIISLogFilesV1.4工具。它使用圖形化界面
一次可以檢測多個文件。下載地址:http://www.11k.net/Software/View-Software-1585.html
如果你感覺這些IIS日志中的信息記錄還不夠多,那么你可以做一個隱藏網頁,凡是登陸到網站上都會先定向到
該網頁,然后你可以在該網頁中添加代碼,獲取用戶的IP、操作系統、計算機名等信息。并將其輸入到數據庫
中,這樣即使一個攻擊者使用動態的IP只要他不換系統,即使刪除了IIS日志,你也可以把他找出來。
三、通過查看安全日志檢測是否有成功的入侵
如果你你啟用了登陸事件、策略更改、賬戶登陸、系統事件的成功失敗的審核,那么任何成功的入侵都將
在安全日志中留下痕跡
推薦的作法:
1、建議每天最少檢查一次安全日志。
推薦重點檢查的ID事件
529:登錄失敗,試圖使用未知用戶名或帶有錯誤密碼的已知用戶名進行登錄。
528:用戶成功登錄到計算機上。
539:登錄失敗:登錄帳號在登錄嘗試時被鎖定。此事件表明有人發動密碼攻擊但未成功,因而導致賬戶鎖定
682:用戶重新連接到一個已經斷開連接的終端服務器會話上。終端服務攻擊
683:用戶在沒有注銷的情況下與終端服務器會話斷開連接。終端服務攻擊
624:一個用戶帳號被創建。
625:更改了用戶賬戶類型
626:啟用了用戶賬戶
629:禁用了用戶賬戶
630:刪除了用戶賬戶
以上5個事件可能是一個攻擊者試圖通過禁用或刪除發動攻擊時使用的賬戶來掩蓋他們的蹤跡。
577:用戶試圖執行受到權限保護的系統服務操作。
578:在已經處于打開狀態的受保護對象句柄上使用權限。
577、578事件中詳細信息中特權說明
SeTcbPrivilege特權:此事件可以表明一個用戶通過充當操作系統的一部分來試圖提升安全權限,如一個用戶
試圖將其賬戶添加到管理員組就會使用此特權
SeSystemTimePrivilege特權:更改系統時間。此事件可表明有一個用戶嘗試更改系統時間
SeRemoteShutDownPrivilege:從遠程系統強制關閉
SeloadDriverPrivilege:加載或卸載驅動程序
SeSecurityPrivilege:管理審計和安全日志。在清除事件日志或向安全日志寫入有關特權使用的事件是發生
SeShutDownPrivilege:關閉系統
SeTakeOwnershipPrivilege:取得文件或其他對象的所有權.此事件可表明有一個攻擊者正在通過取得一個
對象的所有權來嘗試繞過當前的安全設置
517:日志事件被清除或修改。此事件可以表明一個攻擊者企圖通過修改或刪除日志文件來掩蓋他們的蹤跡
612:更改了審計策略。此事件可以表明一個攻擊者企圖通過修改審計策略來掩蓋他們的蹤跡
如為了掩蓋刪除日志文件的蹤跡他可能先關閉系統事件的審核。
2、通過篩選器來查看重要性事件
方法:點擊事件查看器窗口中的查看菜單,點擊篩選,點擊篩選器,定義自己的篩選選項,確定即可。
3、在查看完成之后備份事件
方法:點擊事件查看器窗口中的操作菜單,點擊導出列表,選擇保存路徑和文件名,如果保存類型
選擇了“文本文件(制表符分隔)”,將會保存為文本文件。如果保存類型
選擇了“文本文件(逗號分隔)”,將會保存為Excel文件。
當然也可以選擇另存日志文件。
如果感覺這樣保存麻煩也可以使用微軟的resourceKit工具箱中的dumpel.exe配合計劃任務可以實現
定期備份系統日志。
4、刪除檢查過的日志文件,日志文件越少越容易發現問題。
5、配合系統日志程序日志檢測可疑內容
6、使用EventCombMT工具
EventCombMT是一個功能強大的多線程工具,它可同時分析許多服務器中的事件日志,為包含在搜索條件中的
每一臺服務器生成一個單獨的執行線程。利用它你可以定義
要搜索的單個事件ID或多個事件ID,用空格分格
定義一個要搜索的事件ID范圍。如:528>ID<540
將搜索限定為特定的事件日志。如:只搜索安全日志
將搜索限定為特定的事件消息。如:成功審計
將搜索限制為特定的事件源。
搜索事件說明內的特定文本。
定義特定的時間間隔以便從當前日期和時間向后掃描
注:要使用該工具您需要安裝WindowsServer2003ResourceKitTools.安裝完成后在命令提示符下輸入EventCombMT即可
下載地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
四、通過端口檢測入侵攻擊
端口是攻擊者最喜歡的進入的大門,所以我們要養成查看端口的習慣
1、通過netstat命令。CMD提示符下
netstat-ano:檢測當前開放的端口,并顯示使用該端口程序的PID。
netstat-n:檢測當前活動的連接
如果通過以上命令發現有不明的端口開放了,不是中了木馬就是開放新的服務。
處理方法:
打開任務管理器,在查看菜單下選擇列,勾選PID,點擊確定。然后根據開放端口使用的PID在任務管理器中
查找使用該端口的程序文件名。在任務管理器殺掉該進程。
如果任務管理器提示殺不掉,可以使用ntsd命令,格式如下:c:\>ntsd-cq-pPID。
如果使用該PID的進程不是單獨的程序文件而是調用的Svchost或lsass(現在有很多木馬可以做到這一點)。那么
需要你有很志業的知識才能查找到。我的經驗是下面的幾種方法配合使用
在服務中查找使用Svchost或lsass的可疑服務。在命令提示符下輸入tasklist/svc可以查看進程相關聯的
PID和服務。
利用Windows優化大師中的進程管理去查找Svchost或lsass中可疑的.dll。
檢查System32下最新文件:在命令提示符sytem32路徑下輸入dir/od
利用hijackthis工具可以查出系統啟動的程序名和dll文件.下載地址:http://www.cl520.net/soft/3992.htm
發現可疑的dll后如果不知道是否為病毒文件去Google吧
2、使用ActivePort軟件
ActivePort軟件安裝后用的是圖形化界面,它可以顯示所有開放的端口,當前活動的端口,并可以將端口、
進程、程序名路徑相關聯。并且可以利用它來中斷某個活動的連接
五、通過進程監控可疑程序
如果發現不正常的進程,及時殺掉,如果在任務管理器中無法殺掉可以去查找可疑的服務,將服務關閉后
再殺,當然也可以在提示符下利用ntsd命令。格式為:ntsd-cq-pPID
六、利用Svcmon.exe(serviceMonitoringTool)監視已安裝的服務
這個工具可以用來監視本地或者是遠程計算機服務的狀態改變,當它發現一個服務開始或者是停止的時候,
這個工具將會通過發e-mail或者是ExchangeServer來通知你知道。要想使用這個工具需要安裝ResourceKit。
但是去MS的網站http://www.microsoft.com/downloads/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下載的ResourceKit安裝后沒有找到這個工具,
其實還有很多工具這個ResourceKit沒有。可能這是一個簡單的ResourceKit包。后來又安裝了2003
光盤上的SupportTools也沒找到它。我使用了2000的
ResourceKit安裝光盤,安裝后,在2003上一樣可以使用。不過我用了后發現系統會不穩定,所以最好找2003的ResourceKit安裝光盤。
這個工具由兩部分組成,Svcmon.exe在你安裝好ResourceKit后,默認的位于C:\ProgramFiles\ResourceKit
文件夾下,你要將其拷貝到%SystemRoot%\System32下,然后在命令提示符下輸入Smconfig將打開
配置向導。是圖形界面,注意在ExchangeRecipients那里添如你要提醒的用戶的Email。其他的
按照指示做就可以了。
如果發現有不正常的服務可以使用ResourceKit中的Instsrv.exe移除服務
使用格式:instsrvservicenameRemove
七、檢測System32下的系統文件
在安裝好系統后和安裝新的軟件后對System32文件夾做備份,然后用COMP命令定期檢查該文件的內容查找
可疑的文件夾或文件。COMP命令的使用格式為:命令提示符下
COMPdata1data2/L/C
data1指定要比較的第一個文件的位置和名稱。
data2指定要比較的第二個文件的位置和名稱。
/L顯示不同的行數。
/C比較文件時不分ASCII字母的大小寫。
注:MS的WinDiff工具可以圖形化比較兩個文件
八、利用Drivers.exe來監視已安裝的驅動程序
現在有的攻擊者將木馬添加到驅動程序中,我們可以通過MS提供的Drivers工具來進行檢測。
在運行此工具的計算機上,此工具會顯示安裝的所有設備驅動程序。該工具的輸出包括一些信息,其中
有驅動程序的文件名、磁盤上驅動程序的大小,以及鏈接該驅動程序的日期。鏈接日期可識別任何新安
裝的驅動程序。如果某個更新的驅動程序不是最近安裝的,可能表示這是一個被替換的驅動程序。
注:Drivers.exe工具在MS的的網站下載的WindowsServer2003ResourceKitTools中也沒有這個工具
我是使用的2000的。
九、檢查本地用戶和組
這個想來不用說太多,大家都知道的了,需要注意的一點是,如果使用命令行的netuser來查看,將無法查看
到隱藏的用戶(即用戶名后加了$的),所以最好使用管理單元來查看所有用戶。
十、檢查網頁文件,特別是有與數據庫連接的文件的日期,現在有的攻擊者入侵后會在網頁代碼中留下后門,
所以如果日期發了變化,那就要注意查看了。
十一、附Server2003EnterpriseEdition安裝IIS和SQL2000后默認啟動的服務、進程、端口
1、已啟動的服務
AutomaticUpdate、COM+EventSystem、ComputerBrowser、CryptographicServices、DHCPClient、
DistributedfileSystem、DistributedlinkTracking、Distributedtransaction、DNSClient、
ErrorReporting、Eventlog、HelpAndSupports、IPSECServices、LogicalDiskManager、
NetworkLocation、plugandplay、PrintSpooler、RemoteProcedureCall、RemoteRegistry、
SecondaryLogon、SecurityAccounts、Server、SystemEventNetification、TaskScheduler、
TCP/IPNetBIOS、TerminalServices、WindowsInstaller、WindowsManagementInstrumentation、
WindowsTime、WirelessConfig、Workstation。
以下為安裝IIS(只有WEB服務)后新加的啟動的服務
AddService、Com+systemapplication、HttpSSL、IISAdminService、
networkconnections、protectedstorage、shellhardware、wordwideweb。
以下為安裝SQL2000后新增加的已啟動的服務
MicrosoftSearch、NTLMSecurity、MSSQLServer
2、已啟動的進程
ctfmon:admin、wpabaln:admin、explorer:admin、wmiprvse、dfssvc、msdtc:networkservice、
sploolsv、lsass、conime:admin、services、
svchost:7個其中localservice2個、networkservice1個、winlogon、csrss、smss、
system、systemidleprocess。共計:22個進程,其中admin、networkservice、localservice表示用戶名
未注明的為System用戶
以下為安裝IIS后新增加的進程
wpabaln:admin、inetinfo、
以下為安裝SQL后新增加的進程
mssearch、sqlmangr、wowexecadmin、sqlservr
3、已開啟的端口
TCP:135、445、1025、1026、139
udp:445、500、1027、4500、123
以下為安裝IIS后新增加的端口
tcp:80、8759注意8759這個端口是第一次安裝后自動選擇的一個端口,所以每臺機會不同
以下為安裝SQL后新增加的端口
tcp:1433
udp:68、1434
如果啟用防火墻后將開啟以下端口
TCP:3001、3002、3003
UDP:3004、3005