入侵的檢測(cè)主要還是根據(jù)應(yīng)用來進(jìn)行，提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測(cè)分析系統(tǒng)來進(jìn)行保護(hù)，對(duì)于一般的主機(jī)來說，主要應(yīng)該注意以下幾個(gè)方面：

1、 基于80端口入侵的檢測(cè)

WWW服務(wù)大概是最常見的服務(wù)之一了，而且由于這個(gè)服務(wù)面對(duì)廣大用戶，服務(wù)的流量和復(fù)雜度都很高，所以針對(duì)這個(gè)服務(wù)的漏洞和入侵技巧也最多。對(duì)于NT來說，IIS一直是系統(tǒng)管理員比較頭疼的一部分（恨不得關(guān)了80端口），不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測(cè)的得力幫手。IIS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下，一般是按24小時(shí)滾動(dòng)的，在IIS管理器中可以對(duì)它進(jìn)行詳細(xì)的配置。（具體怎么配我不管你，不過你要是不詳細(xì)記錄，回頭查不到入侵者的IP可不要哭）

現(xiàn)在我們?cè)偌僭O(shè)（怎么老是假設(shè)呀，煩不煩？）別急呀，我不能為了寫這篇文章真的去黑掉一臺(tái)主機(jī)，所以只好假設(shè)了，我們假設(shè)一臺(tái)WEB服務(wù)器，開放了WWW服務(wù)，你是這臺(tái)服務(wù)器的系統(tǒng)管理員，已經(jīng)小心地配置了IIS，使用W3C擴(kuò)展的日志格式，并至少記錄了時(shí)間（Time）、客戶端IP（Client IP）、方法（Method）、URI資源(URI Stem)、URI查詢(URI Query)，協(xié)議狀態(tài)（Protocol Status)，我們用最近比較流行的Unicode漏洞來進(jìn)行分析：打開IE的窗口，在地址欄輸入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默認(rèn)的情況下你可以看到目錄列表（什么？你已經(jīng)做過安全配置了，看不到？恢復(fù)默認(rèn)安裝，我們要做個(gè)實(shí)驗(yàn)），讓我們來看看IIS的日志都記錄了些什么，打開Ex010318.log（Ex代表W3C擴(kuò)展格式，后面的一串?dāng)?shù)字代表日志的記錄日期）：07:42:58 127.0.0.1 GET /scripts/..../winnt/system32cmd.exe /c+dir 200上面這行日志表示在格林威治時(shí)間07:42:58（就是北京時(shí)間23:42:58），有一個(gè)家伙（入侵者）從127.0.0.1的IP在你的機(jī)器上利用Unicode漏洞（%c1%1c被解碼為''，實(shí)際的情況會(huì)因?yàn)閃indows語(yǔ)言版本的不同而有略微的差別）運(yùn)行了cmd.exe，參數(shù)是/c dir，運(yùn)行結(jié)果成功（HTTP 200代表正確返回）。(哇，記錄得可真夠全的，以后不敢隨便亂玩Unicode了)

大多數(shù)情況下，IIS的日志會(huì)忠實(shí)地記錄它接收到的任何請(qǐng)求（也有特殊的不被IIS記錄的攻擊，這個(gè)我們以后再討論），所以，一個(gè)優(yōu)秀的系統(tǒng)管理員應(yīng)該擅長(zhǎng)利用這點(diǎn)來發(fā)現(xiàn)入侵的企圖，從而保護(hù)自己的系統(tǒng)。但是，IIS的日志動(dòng)輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日志分析軟件，用任何語(yǔ)言編寫一個(gè)日志分析軟件（其實(shí)就是文本過濾器）都非常簡(jiǎn)單，不過考慮到一些實(shí)際情況（比如管理員不會(huì)寫程序，或者服務(wù)器上一時(shí)找不到日志分析軟件），我可以告訴大家一個(gè)簡(jiǎn)單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的CMD命令：find 'Global.asa' ex010318.log /i這個(gè)命令使用的是NT自帶的find.exe工具（所以不怕緊急情況找不著），可以輕松的從文本文件中找到你想過濾的字符串，'Global.asa'是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。因?yàn)槲覠o意把這篇文章寫成微軟的Help文檔，所以關(guān)于這個(gè)命令的其他參數(shù)以及它的增強(qiáng)版FindStr.exe的用法請(qǐng)去查看Win2000的幫助文件。

無論是基于日志分析軟件或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞（比如'+.htr'）以及未來將要出現(xiàn)的漏洞可能會(huì)調(diào)用的資源（比如Global.asa或者cmd.exe），通過過濾這張不斷更新的字符串表，一定可以盡早了解入侵者的行動(dòng)。

需要提醒的是，使用任何日志分析軟件都會(huì)占用一定的系統(tǒng)資源，因此，對(duì)于IIS日志分析這樣低優(yōu)先級(jí)的任務(wù)，放在夜里空閑時(shí)自動(dòng)執(zhí)行會(huì)比較合適，如果再寫一段腳本把過濾后的可疑文本發(fā)送給系統(tǒng)管理員，那就更加完美了。同時(shí)，如果敏感字符串表較大，過濾策略復(fù)雜，我建議還是用C寫一個(gè)專用程序會(huì)比較合算。

2、 基于安全日志的檢測(cè)

通過基于IIS日志的入侵監(jiān)測(cè)，我們能提前知道窺伺者的行蹤（如果你處理失當(dāng)，窺伺者隨時(shí)會(huì)變成入侵者），但是IIS日志不是萬(wàn)能的，它在某種情況下甚至不能記錄來自80端口的入侵，根據(jù)我對(duì)IIS日志系統(tǒng)的分析，IIS只有在一個(gè)請(qǐng)求完成后才會(huì)寫入日志，換言之，如果一個(gè)請(qǐng)求中途失敗，日志文件中是不會(huì)有它的蹤影的（這里的中途失敗并不是指發(fā)生HTTP400錯(cuò)誤這樣的情況，而是從TCP層上沒有完成HTTP請(qǐng)求，例如在POST大量數(shù)據(jù)時(shí)異常中斷），對(duì)于入侵者來說，就有可能繞過日志系統(tǒng)完成大量的活動(dòng)。

而且，對(duì)于非80 Only的主機(jī)，入侵者也可以從其它的服務(wù)進(jìn)入服務(wù)器，因此，建立一套完整的安全監(jiān)測(cè)系統(tǒng)是非常必要的。

Win2000自帶了相當(dāng)強(qiáng)大的安全日志系統(tǒng)，從用戶登錄到特權(quán)的使用都有非常詳細(xì)的記錄，可惜的是，默認(rèn)安裝下安全審核是關(guān)閉的，以至于一些主機(jī)被黑后根本沒法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核，一般來說，登錄事件與賬戶管理是我們最關(guān)心的事件，同時(shí)打開成功和失敗審核非常必要，其他的審核也要打開失敗審核，這樣可以使得入侵者步步維艱，一不小心就會(huì)露出馬腳。僅僅打開安全審核并沒有完全解決問題，如果沒有很好的配置安全日志的大小及覆蓋方式，一個(gè)老練的入侵者就能夠通過洪水般的偽造入侵請(qǐng)求覆蓋掉他真正的行蹤。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現(xiàn)。

設(shè)置了安全日志卻不去檢查跟沒有設(shè)置安全日志幾乎一樣糟糕（唯一的優(yōu)點(diǎn)是被黑了以后可以追查入侵者），所以，制定一個(gè)安全日志的檢查機(jī)制也是非常重要的，作為安全日志，推薦的檢查時(shí)間是每天上午，這是因?yàn)椋肭终呦矚g夜間行動(dòng)（速度快呀，要不你入侵到一半的時(shí)候連不上了，那可是哭都哭不出來）上午上班第一件事正好看看日志有沒有異常，然后就可以放心去做其他的事了。如果你喜歡，也可以編寫腳本每天把安全日志作為郵件發(fā)送給你（別太相信這個(gè)了，要是哪個(gè)高手上去改了你的腳本，每天發(fā)送'平安無事'……）

除了安全日志，系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測(cè)工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權(quán)限，那么他一定會(huì)去清除痕跡的），在系統(tǒng)和應(yīng)用程序日志中也會(huì)留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。

3、文件訪問日志與關(guān)鍵文件保護(hù)

除了系統(tǒng)默認(rèn)的安全審核外，對(duì)于關(guān)鍵的文件，我們還要加設(shè)文件訪問日志，記錄對(duì)他們的訪問。

文件訪問有很多的選項(xiàng)：訪問、修改、執(zhí)行、新建、屬性更改......一般來說，關(guān)注訪問和修改就能起到很大的監(jiān)視作用。

例如，如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建，甚至部分重要文件的訪問（例如cmd.exe, net.exe，system32目錄），那么，入侵者就很難安放后門而不引起我們的注意，要注意的是，監(jiān)視的關(guān)鍵文件和項(xiàng)目不能太多，否則不僅增加系統(tǒng)負(fù)擔(dān)，還會(huì)擾亂日常的日志監(jiān)測(cè)工作 （哪個(gè)系統(tǒng)管理員有耐心每天看四、五千條垃圾日志？）

關(guān)鍵文件不僅僅指的是系統(tǒng)文件，還包括有可能對(duì)系統(tǒng)管理員/其他用戶構(gòu)成危害的任何文件，例如系統(tǒng)管理員的配置、桌面文件等等，這些都是有可能用來竊取系統(tǒng)管理員資料/密碼的。

4、 進(jìn)程監(jiān)控

進(jìn)程監(jiān)控技術(shù)是追蹤木馬后門的另一個(gè)有力武器，90%以上的木馬和后門是以進(jìn)程的形式存在的（也有以其他形式存在的木馬，參見《揭開木馬的神秘面紗三》），作為系統(tǒng)管理員，了解服務(wù)器上運(yùn)行的每個(gè)進(jìn)程是職責(zé)之一（否則不要說安全，連系統(tǒng)優(yōu)化都沒有辦法做），做一份每臺(tái)服務(wù)器運(yùn)行進(jìn)程的列表非常必要，能幫助管理員一眼就發(fā)現(xiàn)入侵進(jìn)程，異常的用戶進(jìn)程或者異常的資源占用都有可能是非法進(jìn)程。除了進(jìn)程外，DLL也是危險(xiǎn)的東西，例如把原本是exe類型的木馬改寫為dll后，使用rundll32運(yùn)行就比較具有迷惑性。

5、 注冊(cè)表校驗(yàn)

一般來說，木馬或者后門都會(huì)利用注冊(cè)表來再次運(yùn)行自己，所以，校驗(yàn)注冊(cè)表來發(fā)現(xiàn)入侵也是常用的手法之一。一般來說，如果一個(gè)入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個(gè)鍵值（比如Run、Runonce等等），查找起來是相對(duì)容易的，但是對(duì)于可以自己編寫/改寫木馬的人來說，注冊(cè)表的任何地方都可以藏身，靠手工查找就沒有可能了。（注冊(cè)表藏身千變?nèi)f化，例如需要特別提出來的FakeGina技術(shù)，這種利用WINNT外嵌登錄DLL（Ginadll）來獲得用戶密碼的方法最近比較流行，一旦中招，登錄用戶的密碼就會(huì)被記錄無遺，具體的預(yù)防方法我這里就不介紹了。）應(yīng)對(duì)的方法是監(jiān)控注冊(cè)表的任何改動(dòng)，這樣改寫注冊(cè)表的木馬就沒有辦法遁形了。監(jiān)控注冊(cè)表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能，一個(gè)監(jiān)控軟件加上定期對(duì)注冊(cè)表進(jìn)行備份，萬(wàn)一注冊(cè)表被非授權(quán)修改，系統(tǒng)管理員也能在最短的時(shí)間內(nèi)恢復(fù)。

6、端口監(jiān)控

雖然說不使用端口的木馬已經(jīng)出現(xiàn)，但是大部分的后門和木馬還是使用TCP連接的，監(jiān)控端口的狀況對(duì)于由于種種原因不能封鎖端口的主機(jī)來說就是非常重要的了，我們這里不談使用NDIS網(wǎng)卡高級(jí)編程的IDS系統(tǒng)，對(duì)于系統(tǒng)管理員來說，了解自己服務(wù)器上開放的端口甚至比對(duì)進(jìn)程的監(jiān)控更加重要，常常使用netstat查看服務(wù)器的端口狀況是一個(gè)良好的習(xí)慣，但是并不能24小時(shí)這樣做，而且NT的安全日志有一個(gè)壞習(xí)慣，喜歡記錄機(jī)器名而不是IP（不知道比爾蓋子怎么想的），如果你既沒有防火墻又沒有入侵檢測(cè)軟件，倒是可以用腳本來進(jìn)行IP日志記錄的，看著這個(gè)命令：

netstat -n -p tcp 10>>Netstat.log,這個(gè)命令每10秒鐘自動(dòng)查看一次TCP的連接狀況，基于這個(gè)命令我們做一個(gè)Netlog.bat文件: time /t>>Netstat.log Netstat -n -p tcp 10>>Netstat.log

這個(gè)腳本將會(huì)自動(dòng)記錄時(shí)間和TCP連接狀態(tài)，需要注意的是：如果網(wǎng)站訪問量比較大，這樣的操作是需要消耗一定的CPU時(shí)間的，而且日志文件將越來越大，所以請(qǐng)慎之又慎。（要是做個(gè)腳本就完美無缺，誰(shuí)去買防火墻？:）

一旦發(fā)現(xiàn)異常的端口，可以使用特殊的程序來關(guān)聯(lián)端口、可執(zhí)行文件和進(jìn)程(如inzider就有這樣的功能，它可以發(fā)現(xiàn)服務(wù)器監(jiān)聽的端口并找出與該端口關(guān)聯(lián)的文件，inzider可以從http://www.nttoolbox.com下載到)，這樣無論是使用TCP還是UDP的木馬都無處藏身。

7、終端服務(wù)的日志監(jiān)控

單獨(dú)將終端服務(wù)（Terminal Service）的日志監(jiān)控分列出來是有原因的，微軟Win2000服務(wù)器版中自帶的終端服務(wù)Terminal Service是一個(gè)基于遠(yuǎn)程桌面協(xié)議（RDP）的工具，它的速度非常快，也很穩(wěn)定，可以成為一個(gè)很好的遠(yuǎn)程管理軟件，但是因?yàn)檫@個(gè)軟件功能強(qiáng)大而且只受到密碼的保護(hù)，所以也非常的危險(xiǎn)，一旦入侵者擁有了管理員密碼，就能夠象本機(jī)一樣操作遠(yuǎn)程服務(wù)器（不需要高深的NT命令行技巧，不需要編寫特殊的腳本和程序，只要會(huì)用鼠標(biāo)就能進(jìn)行一切系統(tǒng)管理操作，實(shí)在是太方便、也實(shí)在是太可怕了）。雖然很多人都在使用終端服務(wù)來進(jìn)行遠(yuǎn)程管理，但是，并不是人人都知道如何對(duì)終端服務(wù)進(jìn)行審核，大多數(shù)的終端服務(wù)器上并沒有打開終端登錄的日志，其實(shí)打開日志審核是很容易的，在管理工具中打開遠(yuǎn)程控制服務(wù)配置（Terminal Service Configration），點(diǎn)擊'連接'，右擊你想配置的RDP服務(wù)（比如 RDP-TCP(Microsoft RDP 5.0)，選中書簽'權(quán)限'，點(diǎn)擊左下角的'高級(jí)'，看見上面那個(gè)'審核'了么？我們來加入一個(gè)Everyone組，這代表所有的用戶，然后審核他的'連接'、'斷開'、'注銷'的成功和'登錄'的成功和失敗就足夠了，審核太多了反而不好，這個(gè)審核是記錄在安全日志中的，可以從'管理工具'->'日志查看器'中查看。現(xiàn)在什么人什么時(shí)候登錄我都一清二楚了，可是美中不足的是：這個(gè)破爛玩藝居然不記錄客戶端的IP（只能查看在線用戶的IP），而是華而不實(shí)的記錄什么機(jī)器名，倒！要是別人起個(gè)PIG的機(jī)器名你只好受他的嘲弄了，不知道微軟是怎么想的，看來還是不能完全依賴微軟呀，我們自己來吧？寫個(gè)程序，一切搞定，你會(huì)C么？不會(huì)？VB呢？也不會(huì)？Delphi？……什么？你什么編程語(yǔ)言都不會(huì)？我倒，畢竟系統(tǒng)管理員不是程序員呀，別急別急，我給你想辦法，我們來建立一個(gè)bat文件，叫做TSLog.bat，這個(gè)文件用來記錄登錄者的IP，內(nèi)容如下：

time /t >>TSLog.log netstat -n -p tcp 　 find ':3389'>>TSLog.log start Explorer 我來解釋一下這個(gè)文件的含義：

第一行是記錄用戶登錄的時(shí)間，time /t的意思是直接返回系統(tǒng)時(shí)間（如果不加/t，系統(tǒng)會(huì)等待你輸入新的時(shí)間），然后我們用追加符號(hào)'>>'把這個(gè)時(shí)間記入TSLog.log作為日志的時(shí)間字段；

第二行是記錄用戶的IP地址，netstat是用來顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令，-n表示顯示IP和端口而不是域名、協(xié)議，-ptcp是只顯示tcp協(xié)議，然后我們用管道符號(hào)'　'把這個(gè)命令的結(jié)果輸出給find命令，從輸出結(jié)果中查找包含':3389'的行（這就是我們要的客戶的IP所在的行，如果你更改了終端服務(wù)的端口，這個(gè)數(shù)值也要作相應(yīng)的更改），最后我們同樣把這個(gè)結(jié)果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，記錄格式如下：

22:40 TCP192.168.12.28:3389192.168.10.123:4903　ESTABLISHED 22:54 TCP192.168.12.28:3389 192.168.12.29:1039　ESTABLISHED

也就是說只要這個(gè)TSLog.bat文件一運(yùn)行，所有連在3389端口上的IP都會(huì)被記錄，那么如何讓這個(gè)批處理文件自動(dòng)運(yùn)行呢？我們知道，終端服務(wù)允許我們?yōu)橛脩糇远x起始的程序，在終端服務(wù)配置中，我們覆蓋用戶的登錄腳本設(shè)置并指定TSLog.bat為用戶登錄時(shí)需要打開的腳本，這樣每個(gè)用戶登錄后都必須執(zhí)行這個(gè)腳本，因?yàn)槟J(rèn)的腳本（相當(dāng)于shell環(huán)境）是Explorer（資源管理器），所以我在TSLog.bat的最后一行加上了啟動(dòng)Explorer的命令startExplorer，如果不加這一行命令，用戶是沒有辦法進(jìn)入桌面的！當(dāng)然，如果你只需要給用戶特定的Shell：

例如cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個(gè)腳本也可以有其他的寫法，作為系統(tǒng)管理員，你完全可以自由發(fā)揮你的想象力、自由利用自己的資源，例如寫一個(gè)腳本把每個(gè)登錄用戶的IP發(fā)送到自己的信箱對(duì)于重要的服務(wù)器也是一個(gè)很好的方法。正常情況下一般的用戶沒有查看終端服務(wù)設(shè)置的權(quán)限，所以他不會(huì)知道你對(duì)登錄進(jìn)行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了，不過需要注意的是這只是一個(gè)簡(jiǎn)單的終端服務(wù)日志策略，并沒有太多的安全保障措施和權(quán)限機(jī)制，如果服務(wù)器有更高的安全要求，那還是需要通過編程或購(gòu)買入侵監(jiān)測(cè)軟件來完成的。