Win2000 Server入侵監測

穩萊

Win2000 Server入侵監測

--------------------------------------------------------------------------------
 
http://www.pcdog.com 2004-9-19 
 

    入侵的檢測主要還是根據應用來進行,提供了相應的服務就應該有相應的檢測分析系統來進行保護,對於一般的主機來說,主要應該注意以下幾個方面:

1、 基於80端口入侵的檢測

  WWW服務大概是最常見的服務之一了,而且由於這個服務面對廣大用戶,服務的流量和複雜度都很高,所以針對這個服務的漏洞和入侵
技巧也最多。對於NT來說,IIS一直是系統管理員比較頭疼的一部分(恨不得關了80端口),不過好在IIS自帶的日誌功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日誌文件默認存放在System32/LogFiles目錄下,一般是按24小時滾動的,在IIS管理器中可以對它進行詳細的配置。(具體怎麼配我不管你,不過你要是不詳細記錄,回頭查不到入侵者的IP可不要哭)

  現在我們再假設(怎麼老是假設呀,煩不煩?)別急呀,我不能為了寫這篇文章真的去黑掉一台主機,所以只好假設了,我們假設一台WEB服務器,開放了WWW服務,你是這台服務器的系統管理員,已經小心地配置了IIS,使用W3C擴展的日誌格式,並至少記錄了時間(Time)、客戶端IP(Client IP)、方法(Method)、URI資源(URI Stem)、URI查詢(URI Query),協議狀態(Protocol Status),我們用最近比較流行的Unicode漏洞來進行分析:打開IE的窗口,在地址欄輸入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默認的情況下你可以看到目錄列表(什麼?你已經做過安全配置了,看不到?恢復默認安裝,我們要做個實驗),讓我們來看看IIS的日誌都記錄了些什麼,打開Ex010318.log(Ex代表W3C擴展格式,後面的一串數字代表日誌的記錄日期):07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面這行日誌表示在格林威治時間07:42:58(就是北京時間23:42:58),有一個傢伙(入侵者)從127.0.0.1的IP在你的機器上利用Unicode漏洞(%c1%1c被解碼為"\",實際的情況會因為Windows語言版本的不同而有略微的差別)運行了cmd.exe,參數是/c dir,運行結果成功(HTTP 200代表正確返回)。(哇,記錄得可真夠全的,以後不敢隨便亂玩Unicode了)

  大多數情況下,IIS的日誌會忠實地記錄它接收到的任何請求(也有特殊的不被IIS記錄的攻擊,這個我們以後再討論),所以,一個優秀的系統管理員應該擅長利用這點來發現入侵的企圖,從而保護自己的系統。但是,IIS的日誌動輒數十兆、流量大的網站甚至數十G,人工檢查幾乎沒有可能,唯一的選擇就是使用日誌分析軟件,用任何語言編寫一個日誌分析軟件(其實就是文本過濾器)都非常簡單,不過考慮到一些實際情況(比如管理員不會寫程序,或者服務器上一時找不到日誌分析軟件),我可以告訴大家一個簡單的方法,比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件,可以使用以下的CMD命令:find "Global.asa" ex010318.log /i這個命令使用的是NT自帶的find.exe工具(所以不怕緊急情況找不著),可以輕鬆的從文本文件中找到你想過濾的字符串,"Global.asa"是需要查詢的字符串,ex010318.log是待過濾的文本文件,/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔,所以關於這個命令的其他參數以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。

  無論是基於日誌分析軟件或者是Find命令,你都可以建立一張敏感字符串列表,包含已有的IIS漏洞(比如"+.htr")以及未來將要出現的漏洞可能會調用的資源(比如Global.asa或者cmd.exe),通過過濾這張不斷更新的字符串表,一定可以盡早瞭解入侵者的行動。

  需要提醒的是,使用任何日誌分析軟件都會佔用一定的系統資源,因此,對於IIS日誌分析這樣低優先級的任務,放在夜裡空閒時自動執行會比較合適,如果再寫一段腳本把過濾後的可疑文本發送給系統管理員,那就更加完美了。同時,如果敏感字符串表較大,過濾策略複雜,我建議還是用C寫一個專用程序會比較合算。

2、 基於安全日誌的檢測

  通過基於IIS日誌的入侵監測,我們能提前知道窺伺者的行蹤(如果你處理失當,窺伺者隨時會變成入侵者),但是IIS日誌不是萬能的,它在某種情況下甚至不能記錄來自80端口的入侵,根據我對IIS日誌系統的分析,IIS只有在一個請求完成後才會寫入日誌,換言之,如果一個請求中途失敗,日誌文件中是不會有它的蹤影的(這裡的中途失敗並不是指發生HTTP400錯誤這樣的情況,而是從TCP層上沒有完成HTTP請求,例如在POST大量數據時異常中斷),對於入侵者來說,就有可能繞過日誌系統完成大量的活動。

  而且,對於非80 Only的主機,入侵者也可以從其它的服務進入服務器,因此,建立一套完整的安全監測系統是非常必要的。

  Win2000自帶了相當強大的安全日誌系統,從用戶登錄到特權的使用都有非常詳細的記錄,可惜的是,默認安裝下安全審核是關閉的,以至於一些主機被黑後根本沒法追蹤入侵者。所以,我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核,一般來說,登錄事件與賬戶管理是我們最關心的事件,同時打開成功和失敗審核非常必要,其他的審核也要打開失敗審核,這樣可以使得入侵者步步維艱,一不小心就會露出馬腳。僅僅打開安全審核並沒有完全解決問題,如果沒有很好的配置安全日誌的大小及覆蓋方式,一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下,將安全日誌的大小指定為50MB並且只允許覆蓋7天前的日誌可以避免上述情況的出現。

  設置了安全日誌卻不去檢查跟沒有設置安全日誌幾乎一樣糟糕(唯一的優點是被黑了以後可以追查入侵者),所以,制定一個安全日誌的檢查機制也是非常重要的,作為安全日誌,推薦的檢查時間是每天上午,這是因為,入侵者喜歡夜間行動(速度快呀,要不你入侵到一半的時候連不上了,那可是哭都哭不出來)上午上班第一件事正好看看日誌有沒有異常,然後就可以放心去做其他的事了。如果你喜歡,也可以編寫腳本每天把安全日誌作為郵件發送給你(別太相信這個了,要是哪個高手上去改了你的腳本,每天發送"平安無事"……)

  除了安全日誌,系統日誌和應用程序日誌也是非常好的輔助監測工具,一般來說,入侵者除了在安全日誌中留下痕跡(如果他拿到了Admin權限,那麼他一定會去清除痕跡的),在系統和應用程序日誌中也會留下蛛絲馬跡,作為系統管理員,要有不放過任何異常的態度,這樣入侵者就很難隱藏他們的行蹤。

3、文件訪問日誌與關鍵文件保護

  除了系統默認的安全審核外,對於關鍵的文件,我們還要加設文件訪問日誌,記錄對他們的訪問。

  文件訪問有很多的選項:訪問、修改、執行、新建、屬性更改......一般來說,關注訪問和修改就能起到很大的監視作用。

  例如,如果我們監視了系統目錄的修改、創建,甚至部分重要文件的訪問(例如cmd.exe, net.exe,system32目錄),那麼,入侵者就很難安放後門而不引起我們的注意,要注意的是,監視的關鍵文件和項目不能太多,否則不僅增加系統負擔,還會擾亂日常的日誌監測工作
(哪個系統管理員有耐心每天看四、五千條垃圾日誌?)

  關鍵文件不僅僅指的是系統文件,還包括有可能對系統管理員/其他用戶構成危害的任何文件,例如系統管理員的配置、桌面文件等等,這些都是有可能用來竊取系統管理員資料/密碼的。

4、 進程監控

  進程監控技術是追蹤木馬後門的另一個有力武器,90%以上的木馬和後門是以進程的形式存在的(也有以其他形式存在的木馬,參見《揭開木馬的神秘面紗三》),作為系統管理員,瞭解服務器上運行的每個進程是職責之一(否則不要說安全,連繫統優化都沒有辦法做),做一份每台服務器運行進程的列表非常必要,能幫助管理員一眼就發現入侵進程,異常的用戶進程或者異常的資源佔用都有可能是非法進程。除了進程外,DLL也是危險的東西,例如把原本是exe類型的木馬改寫為dll後,使用rundll32運行就比較具有迷惑性。

5、 註冊表校驗

  一般來說,木馬或者後門都會利用註冊表來再次運行自己,所以,校驗註冊表來發現入侵也是常用的手法之一。一般來說,如果一個入侵者只懂得使用流行的木馬,那麼由於普通木馬只能寫入特定的幾個鍵值(比如Run、Runonce等等),查找起來是相對容易的,但是對於可以自己編寫/改寫木馬的人來說,註冊表的任何地方都可以藏身,靠手工查找就沒有可能了。(註冊表藏身千變萬化,例如需要特別提出來的FakeGina技術,這種利用WINNT外嵌登錄DLL(Ginadll)來獲得用戶密碼的方法最近比較流行,一旦中招,登錄用戶的密碼就會被記錄無遺,具體的預防方法我這裡就不介紹了。)應對的方法是監控註冊表的任何改動,這樣改寫註冊表的木馬就沒有辦法遁形了。監控註冊表的軟件非常多,很多追查木馬的軟件都帶有這樣的功能,一個監控軟件加上定期對註冊表進行備份,萬一註冊表被非授權修改,系統管理員也能在最短的時間內恢復。

6、端口監控

  雖然說不使用端口的木馬已經出現,但是大部分的後門和木馬還是使用TCP連接的,監控端口的狀況對於由於種種原因不能封鎖端口的主機來說就是非常重要的了,我們這裡不談使用NDIS網卡高級編程的IDS系統,對於系統管理員來說,瞭解自己服務器上開放的端口甚至比對進程的監控更加重要,常常使用netstat查看服務器的端口狀況是一個良好的習慣,但是並不能24小時這樣做,而且NT的安全日誌有一個壞習慣,喜歡記錄機器名而不是IP(不知道比爾蓋子怎麼想的),如果你既沒有防火牆又沒有入侵檢測軟件,倒是可以用腳本來進行IP日誌記錄的,看著這個命令:

netstat -n -p tcp 10>>Netstat.log,這個命令每10秒鐘自動查看一次TCP的連接狀況,基於這個命令我們做一個Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log

  這個腳本將會自動記錄時間和TCP連接狀態,需要注意的是:如果網站訪問量比較大,這樣的操作是需要消耗一定的CPU時間的,而且日誌文件將越來越大,所以請慎之又慎。(要是做個腳本就完美無缺,誰去買防火牆?:)

  一旦發現異常的端口,可以使用特殊的程序來關聯端口、可執行文件和進程(如inzider就有這樣的功能,它可以發現服務器監聽的端口並找出與該端口關聯的文件,inzider可以從http://www.nttoolbox.com下載到),這樣無論是使用TCP還是UDP的木馬都無處藏身。

7、終端服務的日誌監控

  單獨將終端服務(Terminal Service)的日誌監控分列出來是有原因的,微軟Win2000服務器版中自帶的終端服務Terminal Service是一個基於遠程桌面協議(RDP)的工具,它的速度非常快,也很穩定,可以成為一個很好的遠程管理軟件,但是因為這個軟件功能強大而且只受到密碼的保護,所以也非常的危險,一旦入侵者擁有了管理員密碼,就能夠象本機一樣操作遠程服務器(不需要高深的NT命令行技巧,不需要編寫特殊的腳本和程序,只要會用鼠標就能進行一切系統管理操作,實在是太方便、也實在是太可怕了)。雖然很多人都在使用終端服務來進行遠程管理,但是,並不是人人都知道如何對終端服務進行審核,大多數的終端服務器上並沒有打開終端登錄的日誌,其實打開日誌審核是很容易的,在管理工具中打開遠程控制服務配置(Terminal Service Configration),點擊"連接",右擊你想配置的RDP服務(比如 RDP-TCP(Microsoft RDP 5.0),選中書籤"權限",點擊左下角的"高級",看見上面那個"審核"了麼?我們來加入一個Everyone組,這代表所有的用戶,然後審核他的"連接"、"斷開"、"註銷"的成功和"登錄"的成功和失敗就足夠了,審核太多了反而不好,這個審核是記錄在安全日誌中的,可以從"管理工具"->"日誌查看器"中查看。現在什麼人什麼時候登錄我都一清二楚了,可是美中不足的是:這個破爛玩藝居然不記錄客戶端的IP(只能查看在線用戶的IP),而是華而不實的記錄什麼機器名,倒!要是別人起個PIG的機器名你只好受他的嘲弄了,不知道微軟是怎麼想的,看來還是不能完全依賴微軟呀,我們自己來吧?寫個程序,一切搞定,你會C麼?不會?VB呢?也不會?Delphi?……什麼?你什麼編程語言都不會?我倒,畢竟系統管理員不是程序員呀,別急別急,我給你想辦法,我們來建立一個bat文件,叫做TSLog.bat,這個文件用來記錄登錄者的IP,內容如下:

time /t >>TSLog.log
netstat -n -p tcp|find ":3389">>TSLog.log
start Explorer
我來解釋一下這個文件的含義:

  第一行是記錄用戶登錄的時間,time /t的意思是直接返回系統時間(如果不加/t,系統會等待你輸入新的時間),然後我們用追加符號">>"把這個時間記入TSLog.log作為日誌的時間字段;

  第二行是記錄用戶的IP地址,netstat是用來顯示當前網絡連接狀況的命令,-n表示顯示IP和端口而不是域名、協議,-ptcp是只顯示tcp協議,然後我們用管道符號" "把這個命令的結果輸出給find命令,從輸出結果中查找包含":3389"的行(這就是我們要的客戶的IP所在的行,如果你更改了終端服務的端口,這個數值也要作相應的更改),最後我們同樣把這個結果重定向到日誌文件TSLog.log中去,於是在SLog.log文件中,記錄格式如下:

22:40
TCP  192.168.12.28:3389  192.168.10.123:4903   ESTABLISHED
22:54
TCP  192.168.12.28:3389   192.168.12.29:1039   ESTABLISHED

也就是說只要這個TSLog.bat文件一運行,所有連在3389端口上的IP都會被記錄,那麼如何讓這個批處理文件自動運行呢?我們知道,終端服務允許我們為用戶自定義起始的程序,在終端服務配置中,我們覆蓋用戶的登錄腳本設置並指定TSLog.bat為用戶登錄時需要打開的腳本,這樣每個用戶登錄後都必須執行這個腳本,因為默認的腳本(相當於shell環境)是Explorer(資源管理器),所以我在TSLog.bat的最後一行加上了啟動Explorer的命令startExplorer,如果不加這一行命令,用戶是沒有辦法進入桌面的!當然,如果你只需要給用戶特定的Shell:

  例如cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法,作為系統管理員,你完全可以自由發揮你的想像力、自由利用自己的資源,例如寫一個腳本把每個登錄用戶的IP發送到自己的信箱對於重要的服務器也是一個很好的方法。正常情況下一般的用戶沒有查看終端服務設置的權限,所以他不會知道你對登錄進行了IP審核,只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄裡就足夠了,不過需要注意的是這只是一個簡單的終端服務日誌策略,並沒有太多的安全保障措施和權限機制,如果服務器有更高的安全要求,那還是需要通過編程或購買入侵監測軟件來完成的。
 


 

 給當前日誌評分:
Loading Vote
正在讀取評分資料...


文章來自: Tank部落格
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相關日誌:

評論: 0 | 引用: 0 | 查看次數: -
發表評論
暱 稱:
密 碼: 遊客發言不需要密碼.
內 容:
驗證碼: 驗證碼
選 項:
雖然發表評論不用註冊,但是為了保護您的發言權,建議您註冊帳號.