經過精心配置的Win2000服務器可以防御90%以上的入侵和滲透,但是,就象上一章結束時所提到的:系統安全是一個連續的過程,隨著新漏洞的出現和服務器應用的變化,系統的安全狀況也在不斷變化著;同時由於攻防是矛盾的統一體,道消魔長和魔消道長也在不斷的轉換中,因此,再高明的系統管理員也不能保證一台正在提供服務的服務器長時間絕對不被入侵。
所以,安全配置服務器並不是安全工作的[/size]結束,相反卻是漫長乏味的安全工作的開始,本文我們將初步探討Win2000服務器入侵檢測的初步技巧,希望能幫助您長期維護服務器的安全。
入侵的檢測主要還是根據應用來進行,提供了相應的服務就應該有相應的檢測分析系統來進行保護,對於一般的主機來說,主要應該注意以下幾個方面:
1.基於80端口入侵的檢測 WWW服務大概是最常見的服務之一了,而且由於這個服務面對廣大用戶,服務的流量和復雜度都很高,所以針對這個服務的漏洞和入侵技巧也最多。對於NT來說,IIS一直是系統管理員比較頭疼的一部分,不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認存放在System32/LogFiles目錄下,一般是按24小時滾動的,在IIS管理器中可以對它進行詳細的配置。
我們假設一台WEB服務器,開放了WWW服務,你是這台服務器的系統管理員,已經小心地配置了IIS,使用W3C擴展的日志格式,並至少記錄了時間(Time)、客戶端IP(Client IP)、方法(Method)、URI資源(URI Stem)、URI查詢(URI Query),協議狀態(Protocol Status),我們用最近比較[/size]流行的Unicode漏洞來進行分析:打開IE的窗口,在地址欄輸入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir默認的情況下你可以看到目錄列表,讓我們來看看IIS的日志都記錄了些什麼,打開Ex010318.log(Ex代表W3C擴展格式,後面的一串數字代表日志的記錄日期):07:42:58 127.0.0.1 GET /scripts/..../winnt/system32cmd.exe /c+dir 200上面這行日志表示在格林威治時間07:42:58(就是北京時間23:42:58),有一個家伙(入侵者)從127.0.0.1的IP在你的機器上利用Unicode漏洞(%c1%1c被解碼為“”,實際的情況會因為Windows版本的不同而有略微的差別)運行了cmd.exe,參數是/c dir,運行結果成功(HTTP 200代表正確返回)。