科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Windows Server 2003容易被忽视的安全角落

Windows Server 2003容易被忽视的安全角落

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

  攻击者在攻克Server 2003后,往往会上传一个木马的服务端从而实现对Server 2003的远程控制。这些木马的服务端往往是以服务的形式随系统启动而运行的。对这木马服务端的检测,可以通过系统的“服务”工具实现。

来源:论坛整理 2008年9月3日

关键字: 安全防范 系统安全 Windows 2003

  • 评论
  • 分享微博
  • 分享邮件
1.检查系统服务

  攻击者在攻克Server 2003后,往往会上传一个木马的服务端从而实现对Server 2003的远程控制。这些木马的服务端往往是以服务的形式随系统启动而运行的。对这木马服务端的检测,可以通过系统的“服务”工具实现。

  运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetServices项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。

  需要提醒的是,这些木马的服务端在生成之前都可以进行设置。比如服务端运行后进程的名称、释放的目录、Server 2003描述等,所以管理员一定要仔细辨别。(图8)

   


    
    2.查看相关日志

  Server 2003中的日志有很多类,与笔者认为与入侵检测相关首先是“安全”日志,该日志记录了用户(本地或者远程)系统的详细信息。另外,与Server 2003中运行的服务相关的比如DNS、IIS等也是入侵检测中特别注意的。

  运行eventvwr.msc,点击“安全性”就可以在右边看到与安全相关的日志。比如第一条日志显示LW用户在2008-6-21的12:46:23远程登陆了系统图9,如果管理员自己没有登录或者系统中本来没有该用户,那么就可以断定Server 2003被入侵了。(图9)

   

Server 2003中的日志信息往往非常多,要对这么多的日志信息进行分析显然是不可能的,我们可以在日志记录上点右键选“属性”,在“筛选器”中设置一个日志筛选器根据自己的需要进行筛选,过滤无用的信息。如果要分析Web是否被入侵,可以打开“IIS管理器”定位到其日志文件进行查看。不过,web日志是非常多的,因此需要通过专门的工具进行分析,比如“Web Log Explorer”就是一款不错的工具,可以查看浏览者的IP及其该IP访问、下载或者修改了哪些文件等等。(图10)

   

    
    正因为,日志会记录入侵者的踪迹。所有狡猾的入侵者往往在入侵后会对日志进行操作,擦除入侵痕迹。常见的手段是:

  (1).删掉日志。这是最低级的做法,虽然消除了日志,但也暴露了入侵者自己。如果是这样,管理员看到日志被删除可以马上断定Server 2003被入侵。

  (2).部分删除。一些比较高明的入侵者在入侵结束后会删除日志中与自己相关的部分。如果这样,管理员可以实施对日志的监控保护,一旦发现日志有删除的痕迹就可以进行入侵检测。

  (3).部分修改。这是一些高明的入侵者采用的方法,他们在入侵结束后会修改与自己相关的日志,以欺骗管理员或者嫁祸于人,金蝉脱壳。对才,管理员可以采取同上的方法,不过还要进行一定的分析。

  最后,笔者以一个安全爱好者的角度建议管理员一定要备份好Server 2003的日志。

  3.检查安全策略是否更改

  Server 2003的安全级别比较高,其默认的安全策略限制了攻击者的很多行为,因此他们在入侵过程中或者入侵后往往对Server 2003的安全策略进行调整设置以利用对Server 2003的长久控制。所以,安全策略检测也是Server 2003入侵检测的一个重要方面。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章