經過精心配置的Win2000服務器可以防御90%以上的入侵和滲透，但是，就象上一章結束時我所提到的：系統安全是一個連續的過程，隨著新漏洞的出現和服務器應用的變化，系統的安全狀況也在不斷變化著；同時由于攻防是矛盾的統一體，道消魔長和魔消道長也在不斷的轉換中，因此，再高明的系統管理員也不能保證一臺正在提供服務的服務器長時間絕對不被入侵。

所以，安全配置服務器并不是安全工作的結束，相反卻是漫長乏味的安全工作的開始，本文我們將初步探討Win2000服務器入侵檢測的初步技巧，希望能幫助您長期維護服務器的安全。

本文中所說的入侵檢測指的是利用Win2000 Server自身的功能及系統管理員自己編寫的軟件/腳本進行的檢測，使用防火墻（Firewall）或入侵監測系統（IDS）的技巧并不在本文的討論范圍之內。

現在假定：我們有一臺Win2000 Server的服務器，并且經過了初步的安全配置（關于安全配置的詳情可以參閱Win2000 Server安全配置入門<一>），在這種情況下，大部分的入侵者將被拒之門外。（哈哈，我管理員可以回家睡大覺去了）慢著，我說的是大部分，不是全部，經過初步安全配置的服務器雖然可以防御絕大多數的Script kid（腳本族-只會用別人寫的程序入侵服務器的人），遇到了真正的高手，還是不堪一擊的。雖然說真正的高手不會隨便進入別人的服務器，但是也難保有幾個品行不端的邪派高手看上了你的服務器。（我真的這么衰么？）而且，在漏洞的發現與補丁的發布之間往往有一段時間的真空，任何知道漏洞資料的人都可以乘虛而入，這時，入侵檢測技術就顯得非常的重要。

入侵的檢測主要還是根據應用來進行，提供了相應的服務就應該有相應的檢測分析系統來進行保護，對于一般的主機來說，主要應該注意以下幾個方面：

1、 基于80端口入侵的檢測

WWW服務大概是最常見的服務之一了，而且由于這個服務面對廣大用戶，服務的流量和復雜度都很高，所以針對這個服務的漏洞和入侵技巧也最多。對于NT來說，IIS一直是系統管理員比較頭疼的一部分（恨不得關了80端口），不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認存放在System32/LogFiles目錄下，一般是按24小時滾動的，在IIS管理器中可以對它進行詳細的配置。（具體怎么配我不管你，不過你要是不詳細記錄，回頭查不到入侵者的IP可不要哭）

現在我們再假設（怎么老是假設呀，煩不煩？）別急呀，我不能為了寫這篇文章真的去黑掉一臺主機，所以只好假設了，我們假設一臺WEB服務器，開放了WWW服務，你是這臺服務器的系統管理員，已經小心地配置了IIS，使用W3C擴展的日志格式，并至少記錄了時間（Time）、客戶端IP（ClIEnt IP）、方法（Method）、URI資源(URI Stem)、URI查詢(URI Query)，協議狀態（Protocol Status)，我們用最近比較流行的Unicode漏洞來進行分析：打開IE的窗口，在地址欄輸入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默認的情況下你可以看到目錄列表（什么？你已經做過安全配置了，看不到？恢復默認安裝，我們要做個實驗），讓我們來看看IIS的日志都記錄了些什么，打開Ex010318.log（Ex代表W3C擴展格式，后面的一串數字代表日志的記錄日期）：07:42:58 127.0.0.1 GET /scripts/..../winnt/system32cmd.exe /c+dir 200上面這行日志表示在格林威治時間07:42:58（就是北京時間23:42:58），有一個家伙（入侵者）從127.0.0.1的IP在你的機器上利用Unicode漏洞（%c1%1c被解碼為''，實際的情況會因為Windows語言版本的不同而有略微的差別）運行了cmd.exe，參數是/c dir，運行結果成功（HTTP 200代表正確返回）。(哇，記錄得可真夠全的，以后不敢隨便亂玩Unicode了)

大多數情況下，IIS的日志會忠實地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊，這個我們以后再討論），所以，一個優秀的系統管理員應該擅長利用這點來發現入侵的企圖，從而保護自己的系統。但是，IIS的日志動輒數十兆、流量大的網站甚至數十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日志分析軟件，用任何語言編寫一個日志分析軟件（其實就是文本過濾器）都非常簡單，不過考慮到一些實際情況（比如管理員不會寫程序，或者服務器上一時找不到日志分析軟件），我可以告訴大家一個簡單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的CMD命令：find 'Global.asa' ex010318.log /i這個命令使用的是NT自帶的find.exe工具（所以不怕緊急情況找不著），可以輕松的從文本文件中找到你想過濾的字符串，'Global.asa'是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔，所以關于這個命令的其他參數以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。

無論是基于日志分析軟件或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞（比如'+.htr'）以及未來將要出現的漏洞可能會調用的資源（比如Global.asa或者cmd.exe），通過過濾這張不斷更新的字符串表，一定可以盡早了解入侵者的行動。

需要提醒的是，使用任何日志分析軟件都會占用一定的系統資源，因此，對于IIS日志分析這樣低優先級的任務，放在夜里空閑時自動執行會比較合適，如果再寫一段腳本把過濾后的可疑文本發送給系統管理員，那就更加完美了。同時，如果敏感字符串表較大，過濾策略復雜，我建議還是用C寫一個專用程序會比較合算。

　2、 基于安全日志的檢測

通過基于IIS日志的入侵監測，我們能提前知道窺伺者的行蹤（如果你處理失當，窺伺者隨時會變成入侵者），但是IIS日志不是萬能的，它在某種情況下甚至不能記錄來自80端口的入侵，根據我對IIS日志系統的分析，IIS只有在一個請求完成后才會寫入日志，換言之，如果一個請求中途失敗，日志文件中是不會有它的蹤影的（這里的中途失敗并不是指發生HTTP400錯誤這樣的情況，而是從TCP層上沒有完成HTTP請求，例如在POST大量數據時異常中斷），對于入侵者來說，就有可能繞過日志系統完成大量的活動。

而且，對于非80 Only的主機，入侵者也可以從其它的服務進入服務器，因此，建立一套完整的安全監測系統是非常必要的。

Win2000自帶了相當強大的安全日志系統，從用戶登錄到特權的使用都有非常詳細的記錄，可惜的是，默認安裝下安全審核是關閉的，以至于一些主機被黑后根本沒法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核，一般來說，登錄事件與賬戶管理是我們最關心的事件，同時打開成功和失敗審核非常必要，其他的審核也要打開失敗審核，這樣可以使得入侵者步步維艱，一不小心就會露出馬腳。僅僅打開安全審核并沒有完全解決問題，如果沒有很好的配置安全日志的大小及覆蓋方式，一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現。

設置了安全日志卻不去檢查跟沒有設置安全日志幾乎一樣糟糕（唯一的優點是被黑了以后可以追查入侵者），所以，制定一個安全日志的檢查機制也是非常重要的，作為安全日志，推薦的檢查時間是每天上午，這是因為，入侵者喜歡夜間行動（速度快呀，要不你入侵到一半的時候連不上了，那可是哭都哭不出來）上午上班第一件事正好看看日志有沒有異常，然后就可以放心去做其他的事了。如果你喜歡，也可以編寫腳本每天把安全日志作為郵件發送給你（別太相信這個了，要是哪個高手上去改了你的腳本，每天發送'平安無事'……）

除了安全日志，系統日志和應用程序日志也是非常好的輔助監測工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權限，那么他一定會去清除痕跡的），在系統和應用程序日志中也會留下蛛絲馬跡，作為系統管理員，要有不放過任何異常的態度，這樣入侵者就很難隱藏他們的行蹤。

3、文件訪問日志與關鍵文件保護

除了系統默認的安全審核外，對于關鍵的文件，我們還要加設文件訪問日志，記錄對他們的訪問。

文件訪問有很多的選項：訪問、修改、執行、新建、屬性更改......一般來說，關注訪問和修改就能起到很大的監視作用。

例如，如果我們監視了系統目錄的修改、創建，甚至部分重要文件的訪問（例如cmd.exe, net.exe，system32目錄），那么，入侵者就很難安放后門而不引起我們的注意，要注意的是，監視的關鍵文件和項目不能太多，否則不僅增加系統負擔，還會擾亂日常的日志監測工作（哪個系統管理員有耐心每天看四、五千條垃圾日志？）

關鍵文件不僅僅指的是系統文件，還包括有可能對系統管理員/其他用戶構成危害的任何文件，例如系統管理員的配置、桌面文件等等，這些都是有可能用來竊取系統管理員資料/密碼的。

　4、 進程監控

進程監控技術是追蹤木馬后門的另一個有力武器，90%以上的木馬和后門是以進程的形式存在的（也有以其他形式存在的木馬，參見《揭開木馬的神秘面紗三》），作為系統管理員，了解服務器上運行的每個進程是職責之一（否則不要說安全，連系統優化都沒有辦法做），做一份每臺服務器運行進程的列表非常必要，能幫助管理員一眼就發現入侵進程，異常的用戶進程或者異常的資源占用都有可能是非法進程。除了進程外，DLL也是危險的東西，例如把原本是exe類型的木馬改寫為dll后，使用rundll32運行就比較具有迷惑性。

5、 注冊表校驗

一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發現入侵也是常用的手法之一。一般來說，如果一個入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個鍵值（比如Run、Runonce等等），查找起來是相對容易的，但是對于可以自己編寫/改寫木馬的人來說，注冊表的任何地方都可以藏身，靠手工查找就沒有可能了。（注冊表藏身千變萬化，例如需要特別提出來的FakeGina技術，這種利用WINNT外嵌登錄DLL（Ginadll）來獲得用戶密碼的方法最近比較流行，一旦中招，登錄用戶的密碼就會被記錄無遺，具體的預防方法我這里就不介紹了。）應對的方法是監控注冊表的任何改動，這樣改寫注冊表的木馬就沒有辦法遁形了。監控注冊表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能，一個監控軟件加上定期對注冊表進行備份，萬一注冊表被非授權修改，系統管理員也能在最短的時間內恢復。

6、端口監控

雖然說不使用端口的木馬已經出現，但是大部分的后門和木馬還是使用TCP連接的，監控端口的狀況對于由于種種原因不能封鎖端口的主機來說就是非常重要的了，我們這里不談使用NDIS網卡高級編程的IDS系統，對于系統管理員來說，了解自己服務器上開放的端口甚至比對進程的監控更加重要，常常使用netstat查看服務器的端口狀況是一個良好的習慣，但是并不能24小時這樣做，而且NT的安全日志有一個壞習慣，喜歡記錄機器名而不是IP（不知道比爾蓋子怎么想的），如果你既沒有防火墻又沒有入侵檢測軟件，倒是可以用腳本來進行IP日志記錄的，看著這個命令：

netstat -n -p tcp 10>>Netstat.log,這個命令每10秒鐘自動查看一次TCP的連接狀況，基于這個命令我們做一個Netlog.bat文件: time /t>>Netstat.log Netstat -n -p tcp 10>>Netstat.log;

這個腳本將會自動記錄時間和TCP連接狀態，需要注意的是：如果網站訪問量比較大，這樣的操作是需要消耗一定的CPU時間的，而且日志文件將越來越大，所以請慎之又慎。（要是做個腳本就完美無缺，誰去買防火墻？:）

一旦發現異常的端口，可以使用特殊的程序來關聯端口、可執行文件和進程(如inzider就有這樣的功能，它可以發現服務器監聽的端口并找出與該端口關聯的文件，這樣無論是使用TCP還是UDP的木馬都無處藏身。

7、終端服務的日志監控

單獨將終端服務（Terminal Service）的日志監控分列出來是有原因的，微軟Win2000服務器版中自帶的終端服務Terminal Service是一個基于遠程桌面協議（RDP）的工具，它的速度非常快，也很穩定，可以成為一個很好的遠程管理軟件，但是因為這個軟件功能強大而且只受到密碼的保護，所以也非常的危險，一旦入侵者擁有了管理員密碼，就能夠象本機一樣操作遠程服務器（不需要高深的NT命令行技巧，不需要編寫特殊的腳本和程序，只要會用鼠標就能進行一切系統管理操作，實在是太方便、也實在是太可怕了）。雖然很多人都在使用終端服務來進行遠程管理，但是，并不是人人都知道如何對終端服務進行審核，大多數的終端服務器上并沒有打開終端登錄的日志，其實打開日志審核是很容易的，在管理工具中打開遠程控制服務配置（Terminal Service Configration），點擊'連接'，右擊你想配置的RDP服務（比如 RDP-TCP(Microsoft RDP 5.0)，選中書簽'權限'，點擊左下角的'高級'，看見上面那個'審核'了么？我們來加入一個Everyone組，這代表所有的用戶，然后審核他的'連接'、'斷開'、'注銷'的成功和'登錄'的成功和失敗就足夠了，審核太多了反而不好，這個審核是記錄在安全日志中的，可以從'管理工具'->'日志查看器'中查看。現在什么人什么時候登錄我都一清二楚了，可是美中不足的是：這個破爛玩藝居然不記錄客戶端的IP（只能查看在線用戶的IP），而是華而不實的記錄什么機器名，倒！要是別人起個PIG的機器名你只好受他的嘲弄了，不知道微軟是怎么想的，看來還是不能完全依賴微軟呀，我們自己來吧？寫個程序，一切搞定，你會C么？不會？VB呢？也不會？Delphi？……什么？你什么編程語言都不會？我倒，畢竟系統管理員不是程序員呀，別急別急，我給你想辦法，我們來建立一個bat文件，叫做TSLog.bat，這個文件用來記錄登錄者的IP，內容如下：

time /t >>TSLog.log netstat -n -p tcp | find ':3389'>>TSLog.log start Explorer;

我來解釋一下這個文件的含義：

第一行是記錄用戶登錄的時間，time /t的意思是直接返回系統時間（如果不加/t，系統會等待你輸入新的時間），然后我們用追加符號'>>'把這個時間記入TSLog.log作為日志的時間字段；

第二行是記錄用戶的IP地址，netstat是用來顯示當前網絡連接狀況的命令，-n表示顯示IP和端口而不是域名、協議，-ptcp是只顯示tcp協議，然后我們用管道符號'|'把這個命令的結果輸出給find命令，從輸出結果中查找包含':3389'的行（這就是我們要的客戶的IP所在的行，如果你更改了終端服務的端口，這個數值也要作相應的更改），最后我們同樣把這個結果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，記錄格式如下：

22:40 TCP192.168.12.28:3389192.168.10.123:4903　ESTABLISHED 22:54 TCP192.168.12.28:3389 192.168.12.29:1039　ESTABLISHED;

也就是說只要這個TSLog.bat文件一運行，所有連在3389端口上的IP都會被記錄，那么如何讓這個批處理文件自動運行呢？我們知道，終端服務允許我們為用戶自定義起始的程序，在終端服務配置中，我們覆蓋用戶的登錄腳本設置并指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄后都必須執行這個腳本，因為默認的腳本（相當于shell環境）是Explorer（資源管理器），所以我在TSLog.bat的最后一行加上了啟動Explorer的命令startExplorer，如果不加這一行命令，用戶是沒有辦法進入桌面的！當然，如果你只需要給用戶特定的Shell：

例如cmd.exe或者Word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法，作為系統管理員，你完全可以自由發揮你的想象力、自由利用自己的資源，例如寫一個腳本把每個登錄用戶的IP發送到自己的信箱對于重要的服務器也是一個很好的方法。正常情況下一般的用戶沒有查看終端服務設置的權限，所以他不會知道你對登錄進行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了，不過需要注意的是這只是一個簡單的終端服務日志策略，并沒有太多的安全保障措施和權限機制，如果服務器有更高的安全要求，那還是需要通過編程或購買入侵監測軟件來完成的。

8、陷阱技術

早期的陷阱技術只是一個偽裝的端口服務用來監測掃描，隨著矛和盾的不斷升級，現在的陷阱服務或者陷阱主機已經越來越完善，越來越象真正的服務，不僅能截獲半開式掃描，還能偽裝服務的回應并記錄入侵者的行為，從而幫助判斷入侵者的身份。

我本人對于陷阱技術并不是非常感興趣，一來從技術人員角度來說，低調行事更符合安全的原則；二來陷阱主機反而成為入侵者跳板的情況并不僅僅出現在小說中，在現實生活中也屢見不鮮，如果架設了陷阱反而被用來入侵，那真是偷雞不成了。

記得CoolFire說過一句話，可以用來作為對陷阱技術介紹的一個結束：在不了解情況時，不要隨便進入別人的系統，因為你永遠不能事先知道系統管理員是真的白癡或者偽裝成白癡的天才......

入侵監測的初步介紹就到這里，在實際運用中，系統管理員對基礎知識掌握的情況直接關系到他的安全敏感度，只有身經百戰而又知識豐富、仔細小心的系統管理員才能從一點點的蛛絲馬跡中發現入侵者的影子，未雨綢繆，扼殺入侵的行動。