windows 伺服器系統日誌分析及安全

標籤：

一、利用Windows內建的防火牆日誌檢測入侵 下面是一條防火牆日誌記錄 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04：表示記錄的日期時間 OPEN：表示開啟串連；如果此處為Close表示關閉串連 TCP：表示使用的協議是Tcp 61.145.129.133：表示本地的IP 64.233.189.104：表示遠端IP 4959：表示本地的連接埠 80：表示遠端連接埠。註：如果此處的連接埠為非80、21等常用連接埠那你就要注意了。每一條Open表示的記錄對應的有一條CLOSE記錄，比較兩條記錄可以計算串連的時間。

注意，要使用該項，需要在Windows內建的防火牆的安全日誌選項中勾選“記錄成功的串連”選項。

 

二、通過IIS日誌檢測入侵攻擊

1、認識IIS日誌 IIS日誌預設存放在System32\LogFiles目錄下，使用W3C擴充格式。下面我們通過一條日誌記錄來認識它的格式 2005-01-0316:44:57218.17.90.60GET/Default.aspx-80 -218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000

2005-01-0316:44:57：是表示記錄的時間；

218.17.90.60：表示主機的IP地址；

GET：表示擷取網頁的方法 /Default.aspx：表示瀏覽的網頁的名稱，如果此外的內容不是你網站網頁的名稱，那就表示可能有人在用注入式攻擊對你的網站進行測試。如：“/msadc/..蠟..蠟..蠟../winnt/system32/cmd.exe/c+dir”這段格式的文字出現在瀏覽的網頁後面就表示有攻擊者嘗試能否進入到你的系統目錄下。

-80：表示伺服器的連接埠。

-218.17.90.60：表示客戶機的IP地址。如果在某一時間或不同時間都有大量的同一IP對網站的串連那你就要注意了。

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)：表示使用者的瀏覽器的版本作業系統的版本資訊

200:表示瀏覽成功，如果此處為304表示重新導向。如果此處為404則表示用戶端錯誤未找到網頁,如果伺服器沒有問題但出現大量的404錯誤也表示可能有人在用注入式攻擊對你的網站進行測試。

2、檢測IIS日誌的方法明白了IIS日誌的格式，就可以去尋找攻擊者的行蹤了。但是人工檢查每一條資料幾乎是不可能的，所以我們可以利用Windows本身提供了一個命令findstr。下面以尋找05年1月1日日誌中包含CMD欄位為例示範一下它的用法。IIS日誌路徑已設為D\w3c Cmd提示符下輸入：findstr"cmd"d\w3c\ex050101.log斷行符號。怎麼同一個IP出現了很多，那你可要注意了！下面是我寫的幾個敏感字元，僅供參考，你可以根據自己系統、網頁定製自己的敏感字元，當然如果你根據 這些字元作一個批處理命令就更方便了。 cmd、‘、\\、..、;、and、webconfig、global、

如果你感覺findstr功能不夠直觀強大，你可以AutoScanIISLogFilesV1.4工具。它使用圖形化介面一次可以檢測多個檔案。：http://www.11k.net/Software/View-Software-1585.html

如果你感覺這些IIS日誌中的資訊記錄還不夠多，那麼你可以做一個隱藏網頁，凡是登陸到網站上都會先定向到該網頁，然後你可以在該網頁中添加代碼，擷取使用者的IP、作業系統、電腦名稱等資訊。並將其輸入到資料庫中，這樣即使一個攻擊者使用動態IP只要他不換系統，即使刪除了IIS日誌，你也可以把他找出來。

 

三、通過查看安全日誌檢測是否有成功的入侵如果你你啟用了登陸事件、策略更改、賬戶登陸、系統事件的成功失敗的審核，那麼任何成功的入侵都將在安全日誌中留下痕迹

推薦的作法：

1、建議每天最少檢查一次安全日誌。 推薦重點檢查的ID事件 529：登入失敗，試圖使用未知使用者名稱或帶有錯誤密碼的已知使用者名稱進行登入。 528：使用者成功登入到電腦上。 539：登入失敗：登入帳號在登入嘗試時被鎖定。此事件表明有人發動密碼攻擊但未成功，因而導致賬戶鎖定

682：使用者重新串連到一個已經中斷連線的終端伺服器會話上。終端服務攻擊 683：使用者在沒有登出的情況下與終端伺服器會話中斷連線。終端服務攻擊

624：一個使用者帳號被建立。 625：更改了使用者賬戶類型 626：啟用了使用者賬戶 629：禁用了使用者賬戶 630：刪除了使用者賬戶以上5個事件可能是一個攻擊者試圖通過禁用或刪除發動攻擊時使用的賬戶來掩蓋他們的蹤跡。

577:使用者試圖執行受到許可權保護的系統服務作業。 578:在已經處於開啟狀態的受保護物件控點上使用許可權。 577、578事件中詳細資料中特權說明 SeTcbPrivilege特權：此事件可以表明一個使用者通過充當作業系統的一部分來試圖提升安全許可權，如一個使用者試圖將其賬戶添加到Administrator 群組就會使用此特權 SeSystemTimePrivilege特權：更改系統時間。此事件可表明有一個使用者嘗試更改系統時間 SeRemoteShutDownPrivilege：從遠程系統強制關閉 SeloadDriverPrivilege：載入或卸載驅動程式 SeSecurityPrivilege：管理審計和安全日誌。在清除事件記錄或向安全日誌寫入有關特權使用的事件是發生 SeShutDownPrivilege：關閉系統 SeTakeOwnershipPrivilege：取得檔案或其他對象的所有權.此事件可表明有一個攻擊者正在通過取得一個對象的所有權來嘗試繞過當前的安全設定

517:日誌事件被清除或修改。此事件可以表明一個攻擊者企圖通過修改或刪除記錄檔來掩蓋他們的蹤跡 612:更改了審計策略。此事件可以表明一個攻擊者企圖通過修改審計策略來掩蓋他們的蹤跡如為了掩蓋刪除記錄檔的蹤跡他可能先關閉系統事件的審核。

2、通過篩選器來查看重要性事件方法：點擊事件檢視器視窗中的查看菜單，點擊篩選，點擊篩選器，定義自己的篩選選項，確定即可。

3、在查看完成之後備份事件方法：點擊事件檢視器視窗中的操作菜單，點擊匯出列表，選擇儲存路徑和檔案名稱，如果檔案類型選擇了“文字檔（定位字元分隔）”，將會儲存為文字檔。如果檔案類型 選擇了“文字檔（逗號分隔）”，將會儲存為Excel檔案。當然也可以選擇另存記錄檔。如果感覺這樣儲存麻煩也可以使用微軟的resourceKit工具箱中的dumpel.exe配合計劃任務可以實現定期備份系統日誌。

4、刪除檢查過的記錄檔，記錄檔越少越容易發現問題。

5、配合系統日誌程式日誌檢測可疑內容

6、使用EventCombMT工具 EventCombMT是一個功能強大的多線程工具，它可同時分析許多伺服器中的事件記錄，為包含在搜尋條件中的每一台伺服器產生一個單獨的執行線程。利用它你可以定義 要搜尋的單個事件ID或多個事件ID，用空格分格定義一個要搜尋的事件ID範圍。如:528>ID<540 將搜尋限定為特定的事件記錄。如：只搜尋安全日誌 將搜尋限定為特定的事件訊息。如：成功審計 將搜尋限制為特定的事件來源。搜尋事件說明內的特定文本。 定義特定的時間間隔以便從當前日期和時間向後掃描註：要使用該工具您需要安裝WindowsServer2003ResourceKitTools.安裝完成後在命令提示字元下輸入EventCombMT即可：http://www.microsoft.com/downloads/details.aspx?FamilyID= 9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

 

四、通過連接埠檢測入侵攻擊

連接埠是攻擊者最喜歡的進入的大門,所以我們要養成查看連接埠的習慣

1、通過netstat命令。CMD提示符下 netstat-ano:檢測當前開放的連接埠，並顯示使用該連接埠程式的PID。 netstat-n:檢測當前活動的串連如果通過以上命令發現有不明的連接埠開放了，不是中了木馬就是開放新的服務。 處理方法：開啟工作管理員，在查看菜單下選擇列，勾選PID，點擊確定。然後根據開放連接埠使用的PID在工作管理員中尋找使用該連接埠的程式檔案名稱。在工作管理員殺掉該進程。如果工作管理員提示殺不掉，可以使用ntsd命令，格式如下：c:\>ntsd-cq-pPID。如果使用該PID的進程不是單獨的程式檔案而是調用的Svchost或lsass(現在有很多木馬可以做到這一點)。那麼需要你有很志業的知識才能尋找到。我的經驗是下面的幾種方法配合使用

在服務中尋找使用Svchost或lsass的可疑服務。在命令提示字元下輸入tasklist/svc可以查看進程相關聯的 PID和服務。 利用Windows最佳化大師中的進程管理去尋找Svchost或lsass中可疑的.dll。檢查System32下最新檔案:在命令提示字元sytem32路徑下輸入dir/od 利用hijackthis工具可以查出系統啟動的程式名和dll檔案.：http://www.cl520.net/soft/3992.htm

發現可疑的dll後如果不知道是否為病毒檔案去Google吧

2、使用ActivePort軟體 ActivePort軟體安裝後用的是圖形化介面，它可以顯示所有開放的連接埠，當前活動的連接埠，並可以將連接埠、進程、程式名路徑相關聯。並且可以利用它來中斷某個活動的串連

五、通過進程監控可疑程式如果發現不正常的進程，及時殺掉，如果在工作管理員中無法殺掉可以去尋找可疑的服務，將服務關閉後再殺，當然也可以在提示符下利用ntsd命令。格式為：ntsd-cq-pPID

 

六、利用Svcmon.exe(serviceMonitoringTool)監視已安裝的服務

這個工具可以用來監視本地或者是遠端電腦服務的狀態改變，當它發現一個服務開始或者是停止的時候，這個工具將會通過發e-mail或者是ExchangeServer來通知你知道。要想使用這個工具需要安裝ResourceKit。但是去MS的網站http://www.microsoft.com/downloads/details.aspx?FamilyID= 9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下載的ResourceKit安裝後沒有找到這個工具，其實還有很多工具這個ResourceKit沒有。可能這是一個簡單的ResourceKit包。後來又安裝了2003 光碟片上的SupportTools也沒找到它。我使用了2000的 ResourceKit安裝光碟片，安裝後，在2003上一樣可以使用。不過我用了後發現系統會不穩定，所以最好找2003的ResourceKit安裝光碟片。這個工具由兩部分組成，Svcmon.exe在你安裝好ResourceKit後，預設的位於C:\ProgramFiles\ResourceKit 檔案夾下，你要將其拷貝到%SystemRoot%\System32下，然後在命令提示字元下輸入Smconfig將開啟設定精靈。是圖形介面，注意在ExchangeRecipients那裡添如你要提醒的使用者的Email。其他的 按照指示做就可以了。如果發現有不正常的服務可以使用ResourceKit中的Instsrv.exe移除服務使用格式：instsrvservicenameRemove

 

七、檢測System32下的系統檔案在安裝好系統後和安裝新的軟體後對System32檔案夾做備份，然後用COMP命令定期檢查該檔案的內容尋找可疑的檔案夾或檔案。COMP命令的使用格式為:命令提示字元下 COMPdata1data2/L/C data1指定要比較的第一個檔案的位置和名稱。 data2指定要比較的第二個檔案的位置和名稱。 /L顯示不同的行數。 /C比較檔案時不分ASCII字母的大小寫。 註：MS的WinDiff工具可以圖形化比較兩個檔案

 

八、利用Drivers.exe來監視已安裝的驅動程式現在有的攻擊者將木馬添加到驅動程式中，我們可以通過MS提供的Drivers工具來進行檢測。在運行此工具的電腦上，此工具會顯示安裝的所有裝置驅動程式。該工具的輸出包括一些資訊，其中有驅動程式的檔案名稱、磁碟上驅動程式的大小，以及連結該驅動程式的日期。連結日期可識別任何新安裝的驅動程式。如果某個更新的驅動程式不是最近安裝的，可能表示這是一個被替換的驅動程式。註：Drivers.exe工具在MS的的網站下載的WindowsServer2003ResourceKitTools中也沒有這個工具我是使用的2000的。

九、檢查本機使用者和組這個想來不用說太多，大家都知道的了，需要注意的一點是，如果使用命令列的netuser來查看，將無法查看到隱藏的使用者（即使用者名稱後加了$的），所以最好使用嵌入式管理單元來查看所有使用者。

十、檢查網頁檔案，特別是有與資料庫連接的檔案的日期，現在有的攻擊者入侵後會在網頁代碼中留下後門，所以如果日期發了變化，那就要注意查看了。

十一、附Server2003EnterpriseEdition安裝IIS和SQL2000後預設啟動的服務、進程、連接埠 1、已啟動的服務 AutomaticUpdate、COM+EventSystem、ComputerBrowser、CryptographicServices、DHCPClient、 DistributedfileSystem、DistributedlinkTracking、Distributedtransaction、DNSClient、 ErrorReporting、Eventlog、HelpAndSupports、IPSECServices、LogicalDiskManager、 NetworkLocation、plugandplay、PrintSpooler、RemoteProcedureCall、RemoteRegistry、 SecondaryLogon、SecurityAccounts、Server、SystemEventNetification、TaskScheduler、 TCP/IPNetBIOS、TerminalServices、WindowsInstaller、WindowsManagementInstrumentation、 WindowsTime、WirelessConfig、Workstation。

以下為安裝IIS（只有WEB服務）後新加的啟動的服務 AddService、Com+systemapplication、HttpSSL、IISAdminService、 networkconnections、protectedstorage、shellhardware、wordwideweb。

以下為安裝SQL2000後新增加的已啟動的服務 MicrosoftSearch、NTLMSecurity、MSSQLServer

2、已啟動的進程 ctfmon:admin、wpabaln:admin、explorer:admin、wmiprvse、dfssvc、msdtc:networkservice、 sploolsv、lsass、conime:admin、services、

svchost:7個其中localservice2個、networkservice1個、winlogon、csrss、smss、

system、systemidleprocess。共計：22個進程，其中admin、networkservice、localservice表示使用者名稱未註明的為System使用者

以下為安裝IIS後新增加的進程 wpabaln:admin、inetinfo、

以下為安裝SQL後新增加的進程 mssearch、sqlmangr、wowexecadmin、sqlservr

3、已開啟的連接埠 TCP:135、445、1025、1026、139 udp：445、500、1027、4500、123

以下為安裝IIS後新增加的連接埠 tcp:80、8759注意8759這個連接埠是第一次安裝後自動選擇的一個連接埠，所以每台機會不同

以下為安裝SQL後新增加的連接埠

tcp:1433 udp:68、1434

如果啟用防火牆後將開啟以下連接埠 TCP：3001、3002、3003 UDP：3004、3005

 

 

原文：http://os.51cto.com/art/201111/302961.htm

windows 伺服器系統日誌分析及安全