一、利用Windows自帶的防火墻日志檢測入侵 下面是一條防火墻日志記錄 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04：表示記錄的日期時間 OPEN：表示打開連接；如果此處為Close表示關(guān)閉連接 TCP：表示使用的協(xié)議是Tcp 61.145.129.133：表示本地的IP 64.233.189.104：表示遠程的IP 4959：表示本地的端口 80：表示遠程的端口。注：如果此處的端口為非80、21等常用端口那你就要注意了。每一條Open表示的記錄對應(yīng)的有一條CLOSE記錄，比較兩條記錄可以計算連接的時間。

注意，要使用該項，需要在Windows自帶的防火墻的安全日志選項中勾選“記錄成功的連接”選項。

 

二、通過IIS日志檢測入侵攻擊

1、認識IIS日志 IIS日志默認存放在System32\LogFiles目錄下，使用W3C擴展格式。下面我們通過一條日志記錄來認識它的格式 2005-01-0316:44:57218.17.90.60GET/Default.aspx-80 -218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000

2005-01-0316:44:57：是表示記錄的時間；

218.17.90.60：表示主機的IP地址；

GET：表示獲取網(wǎng)頁的方法 /Default.aspx：表示瀏覽的網(wǎng)頁的名稱，如果此外的內(nèi)容不是你網(wǎng)站網(wǎng)頁的名稱，那就表示可能有人在用注入式攻擊對你的網(wǎng)站進行測試。如：“/msadc/..蠟..蠟..蠟../winnt/system32/cmd.exe/c+dir”這段格式的文字出現(xiàn)在瀏覽的網(wǎng)頁后面就表示有攻擊者嘗試能否進入到你的系統(tǒng)目錄下。

-80：表示服務(wù)器的端口。

-218.17.90.60：表示客戶機的IP地址。如果在某一時間或不同時間都有大量的同一IP對網(wǎng)站的連接那你就要注意了。

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)：表示用戶的瀏覽器的版本操作系統(tǒng)的版本信息

200:表示瀏覽成功，如果此處為304表示重定向。如果此處為404則表示客戶端錯誤未找到網(wǎng)頁,如果服務(wù)器沒有問題但出現(xiàn)大量的404錯誤也表示可能有人在用注入式攻擊對你的網(wǎng)站進行測試。

2、檢測IIS日志的方法明白了IIS日志的格式，就可以去尋找攻擊者的行蹤了。但是人工檢查每一條數(shù)據(jù)幾乎是不可能的，所以我們可以利用Windows本身提供了一個命令findstr。下面以尋找05年1月1日日志中包含CMD字段為例演示一下它的用法。IIS日志路徑已設(shè)為D\w3c Cmd提示符下輸入：findstr"cmd"d\w3c\ex050101.log回車。怎么同一個IP出現(xiàn)了很多，那你可要注意了！下面是我寫的幾個敏感字符，僅供參考，你可以根據(jù)自己系統(tǒng)、網(wǎng)頁定制自己的敏感字符，當(dāng)然如果你根據(jù) 這些字符作一個批處理命令就更方便了。 cmd、'、\\、..、;、and、webconfig、global、

如果你感覺findstr功能不夠直觀強大，你可以AutoScanIISLogFilesV1.4工具。它使用圖形化界面一次可以檢測多個文件。下載地址：http://www.11k.net/Software/View-Software-1585.html

如果你感覺這些IIS日志中的信息記錄還不夠多，那么你可以做一個隱藏網(wǎng)頁，凡是登陸到網(wǎng)站上都會先定向到該網(wǎng)頁，然后你可以在該網(wǎng)頁中添加代碼，獲取用戶的IP、操作系統(tǒng)、計算機名等信息。并將其輸入到數(shù)據(jù)庫中，這樣即使一個攻擊者使用動態(tài)的IP只要他不換系統(tǒng)，即使刪除了IIS日志，你也可以把他找出來。

 

三、通過查看安全日志檢測是否有成功的入侵如果你你啟用了登陸事件、策略更改、賬戶登陸、系統(tǒng)事件的成功失敗的審核，那么任何成功的入侵都將在安全日志中留下痕跡

推薦的作法：

1、建議每天最少檢查一次安全日志。 推薦重點檢查的ID事件 529：登錄失敗，試圖使用未知用戶名或帶有錯誤密碼的已知用戶名進行登錄。 528：用戶成功登錄到計算機上。 539：登錄失?。旱卿泿ぬ栐诘卿泧L試時被鎖定。此事件表明有人發(fā)動密碼攻擊但未成功，因而導(dǎo)致賬戶鎖定

682：用戶重新連接到一個已經(jīng)斷開連接的終端服務(wù)器會話上。終端服務(wù)攻擊 683：用戶在沒有注銷的情況下與終端服務(wù)器會話斷開連接。終端服務(wù)攻擊

624：一個用戶帳號被創(chuàng)建。 625：更改了用戶賬戶類型 626：啟用了用戶賬戶 629：禁用了用戶賬戶 630：刪除了用戶賬戶以上5個事件可能是一個攻擊者試圖通過禁用或刪除發(fā)動攻擊時使用的賬戶來掩蓋他們的蹤跡。

577:用戶試圖執(zhí)行受到權(quán)限保護的系統(tǒng)服務(wù)操作。 578:在已經(jīng)處于打開狀態(tài)的受保護對象句柄上使用權(quán)限。 577、578事件中詳細信息中特權(quán)說明 SeTcbPrivilege特權(quán)：此事件可以表明一個用戶通過充當(dāng)操作系統(tǒng)的一部分來試圖提升安全權(quán)限，如一個用戶試圖將其賬戶添加到管理員組就會使用此特權(quán) SeSystemTimePrivilege特權(quán)：更改系統(tǒng)時間。此事件可表明有一個用戶嘗試更改系統(tǒng)時間 SeRemoteShutDownPrivilege：從遠程系統(tǒng)強制關(guān)閉 SeloadDriverPrivilege：加載或卸載驅(qū)動程序 SeSecurityPrivilege：管理審計和安全日志。在清除事件日志或向安全日志寫入有關(guān)特權(quán)使用的事件是發(fā)生 SeShutDownPrivilege：關(guān)閉系統(tǒng) SeTakeOwnershipPrivilege：取得文件或其他對象的所有權(quán).此事件可表明有一個攻擊者正在通過取得一個對象的所有權(quán)來嘗試繞過當(dāng)前的安全設(shè)置

517:日志事件被清除或修改。此事件可以表明一個攻擊者企圖通過修改或刪除日志文件來掩蓋他們的蹤跡 612:更改了審計策略。此事件可以表明一個攻擊者企圖通過修改審計策略來掩蓋他們的蹤跡如為了掩蓋刪除日志文件的蹤跡他可能先關(guān)閉系統(tǒng)事件的審核。

2、通過篩選器來查看重要性事件方法：點擊事件查看器窗口中的查看菜單，點擊篩選，點擊篩選器，定義自己的篩選選項，確定即可。

3、在查看完成之后備份事件方法：點擊事件查看器窗口中的操作菜單，點擊導(dǎo)出列表，選擇保存路徑和文件名，如果保存類型選擇了“文本文件（制表符分隔）”，將會保存為文本文件。如果保存類型 選擇了“文本文件（逗號分隔）”，將會保存為Excel文件。當(dāng)然也可以選擇另存日志文件。如果感覺這樣保存麻煩也可以使用微軟的resourceKit工具箱中的dumpel.exe配合計劃任務(wù)可以實現(xiàn)定期備份系統(tǒng)日志。

4、刪除檢查過的日志文件，日志文件越少越容易發(fā)現(xiàn)問題。

5、配合系統(tǒng)日志程序日志檢測可疑內(nèi)容

6、使用EventCombMT工具 EventCombMT是一個功能強大的多線程工具，它可同時分析許多服務(wù)器中的事件日志，為包含在搜索條件中的每一臺服務(wù)器生成一個單獨的執(zhí)行線程。利用它你可以定義 要搜索的單個事件ID或多個事件ID，用空格分格定義一個要搜索的事件ID范圍。如:528>ID<540 將搜索限定為特定的事件日志。如：只搜索安全日志 將搜索限定為特定的事件消息。如：成功審計 將搜索限制為特定的事件源。搜索事件說明內(nèi)的特定文本。 定義特定的時間間隔以便從當(dāng)前日期和時間向后掃描注：要使用該工具您需要安裝WindowsServer2003ResourceKitTools.安裝完成后在命令提示符下輸入EventCombMT即可下載地址：http://www.microsoft.com/downloads/details.aspx?FamilyID= 9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

 

四、通過端口檢測入侵攻擊

端口是攻擊者最喜歡的進入的大門,所以我們要養(yǎng)成查看端口的習(xí)慣

1、通過netstat命令。CMD提示符下 netstat-ano:檢測當(dāng)前開放的端口，并顯示使用該端口程序的PID。 netstat-n:檢測當(dāng)前活動的連接如果通過以上命令發(fā)現(xiàn)有不明的端口開放了，不是中了木馬就是開放新的服務(wù)。 處理方法：打開任務(wù)管理器，在查看菜單下選擇列，勾選PID，點擊確定。然后根據(jù)開放端口使用的PID在任務(wù)管理器中查找使用該端口的程序文件名。在任務(wù)管理器殺掉該進程。如果任務(wù)管理器提示殺不掉，可以使用ntsd命令，格式如下：c:\>ntsd-cq-pPID。如果使用該PID的進程不是單獨的程序文件而是調(diào)用的Svchost或lsass(現(xiàn)在有很多木馬可以做到這一點)。那么需要你有很志業(yè)的知識才能查找到。我的經(jīng)驗是下面的幾種方法配合使用

在服務(wù)中查找使用Svchost或lsass的可疑服務(wù)。在命令提示符下輸入tasklist/svc可以查看進程相關(guān)聯(lián)的 PID和服務(wù)。 利用Windows優(yōu)化大師中的進程管理去查找Svchost或lsass中可疑的.dll。檢查System32下最新文件:在命令提示符sytem32路徑下輸入dir/od 利用hijackthis工具可以查出系統(tǒng)啟動的程序名和dll文件.下載地址：http://www.cl520.net/soft/3992.htm

發(fā)現(xiàn)可疑的dll后如果不知道是否為病毒文件去Google吧

2、使用ActivePort軟件 ActivePort軟件安裝后用的是圖形化界面，它可以顯示所有開放的端口，當(dāng)前活動的端口，并可以將端口、進程、程序名路徑相關(guān)聯(lián)。并且可以利用它來中斷某個活動的連接

五、通過進程監(jiān)控可疑程序如果發(fā)現(xiàn)不正常的進程，及時殺掉，如果在任務(wù)管理器中無法殺掉可以去查找可疑的服務(wù)，將服務(wù)關(guān)閉后再殺，當(dāng)然也可以在提示符下利用ntsd命令。格式為：ntsd-cq-pPID

 

六、利用Svcmon.exe(serviceMonitoringTool)監(jiān)視已安裝的服務(wù)

這個工具可以用來監(jiān)視本地或者是遠程計算機服務(wù)的狀態(tài)改變，當(dāng)它發(fā)現(xiàn)一個服務(wù)開始或者是停止的時候，這個工具將會通過發(fā)e-mail或者是ExchangeServer來通知你知道。要想使用這個工具需要安裝ResourceKit。但是去MS的網(wǎng)站http://www.microsoft.com/downloads/details.aspx?FamilyID= 9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下載的ResourceKit安裝后沒有找到這個工具，其實還有很多工具這個ResourceKit沒有?？赡苓@是一個簡單的ResourceKit包。后來又安裝了2003 光盤上的SupportTools也沒找到它。我使用了2000的 ResourceKit安裝光盤，安裝后，在2003上一樣可以使用。不過我用了后發(fā)現(xiàn)系統(tǒng)會不穩(wěn)定，所以最好找2003的ResourceKit安裝光盤。這個工具由兩部分組成，Svcmon.exe在你安裝好ResourceKit后，默認的位于C:\ProgramFiles\ResourceKit 文件夾下，你要將其拷貝到%SystemRoot%\System32下，然后在命令提示符下輸入Smconfig將打開配置向?qū)АＪ菆D形界面，注意在ExchangeRecipients那里添如你要提醒的用戶的Email。其他的 按照指示做就可以了。如果發(fā)現(xiàn)有不正常的服務(wù)可以使用ResourceKit中的Instsrv.exe移除服務(wù)使用格式：instsrvservicenameRemove

 

七、檢測System32下的系統(tǒng)文件在安裝好系統(tǒng)后和安裝新的軟件后對System32文件夾做備份，然后用COMP命令定期檢查該文件的內(nèi)容查找可疑的文件夾或文件。COMP命令的使用格式為:命令提示符下 COMPdata1data2/L/C data1指定要比較的第一個文件的位置和名稱。 data2指定要比較的第二個文件的位置和名稱。 /L顯示不同的行數(shù)。 /C比較文件時不分ASCII字母的大小寫。 注：MS的WinDiff工具可以圖形化比較兩個文件

 

八、利用Drivers.exe來監(jiān)視已安裝的驅(qū)動程序現(xiàn)在有的攻擊者將木馬添加到驅(qū)動程序中，我們可以通過MS提供的Drivers工具來進行檢測。在運行此工具的計算機上，此工具會顯示安裝的所有設(shè)備驅(qū)動程序。該工具的輸出包括一些信息，其中有驅(qū)動程序的文件名、磁盤上驅(qū)動程序的大小，以及鏈接該驅(qū)動程序的日期。鏈接日期可識別任何新安裝的驅(qū)動程序。如果某個更新的驅(qū)動程序不是最近安裝的，可能表示這是一個被替換的驅(qū)動程序。注：Drivers.exe工具在MS的的網(wǎng)站下載的WindowsServer2003ResourceKitTools中也沒有這個工具我是使用的2000的。

九、檢查本地用戶和組這個想來不用說太多，大家都知道的了，需要注意的一點是，如果使用命令行的netuser來查看，將無法查看到隱藏的用戶（即用戶名后加了$的），所以最好使用管理單元來查看所有用戶。

十、檢查網(wǎng)頁文件，特別是有與數(shù)據(jù)庫連接的文件的日期，現(xiàn)在有的攻擊者入侵后會在網(wǎng)頁代碼中留下后門，所以如果日期發(fā)了變化，那就要注意查看了。

十一、附Server2003EnterpriseEdition安裝IIS和SQL2000后默認啟動的服務(wù)、進程、端口 1、已啟動的服務(wù) AutomaticUpdate、COM+EventSystem、ComputerBrowser、CryptographicServices、DHCPClient、 DistributedfileSystem、DistributedlinkTracking、Distributedtransaction、DNSClient、 ErrorReporting、Eventlog、HelpAndSupports、IPSECServices、LogicalDiskManager、 NetworkLocation、plugandplay、PrintSpooler、RemoteProcedureCall、RemoteRegistry、 SecondaryLogon、SecurityAccounts、Server、SystemEventNetification、TaskScheduler、 TCP/IPNetBIOS、TerminalServices、WindowsInstaller、WindowsManagementInstrumentation、 WindowsTime、WirelessConfig、Workstation。

以下為安裝IIS（只有WEB服務(wù)）后新加的啟動的服務(wù) AddService、Com+systemapplication、HttpSSL、IISAdminService、 networkconnections、protectedstorage、shellhardware、wordwideweb。

以下為安裝SQL2000后新增加的已啟動的服務(wù) MicrosoftSearch、NTLMSecurity、MSSQLServer

2、已啟動的進程 ctfmon:admin、wpabaln:admin、explorer:admin、wmiprvse、dfssvc、msdtc:networkservice、 sploolsv、lsass、conime:admin、services、

svchost:7個其中l(wèi)ocalservice2個、networkservice1個、winlogon、csrss、smss、

system、systemidleprocess。共計：22個進程，其中admin、networkservice、localservice表示用戶名未注明的為System用戶

以下為安裝IIS后新增加的進程 wpabaln:admin、inetinfo、

以下為安裝SQL后新增加的進程 mssearch、sqlmangr、wowexecadmin、sqlservr

3、已開啟的端口 TCP:135、445、1025、1026、139 udp：445、500、1027、4500、123

以下為安裝IIS后新增加的端口 tcp:80、8759注意8759這個端口是第一次安裝后自動選擇的一個端口，所以每臺機會不同

以下為安裝SQL后新增加的端口

tcp:1433 udp:68、1434

如果啟用防火墻后將開啟以下端口 TCP：3001、3002、3003 UDP：3004、3005