搞好服务器的入侵检测(2)
作者:雨林 来源:站长网 发布时间:2008-09-26 18:51:00
标签:服务器,安全,入侵
2.检查当前进程情况
服务器的入侵检测进程是非常重要的一项,通过其可以查看是否可疑的程序在服务器中运行。虽然Windows Server 2003集成了进程查看器,但其功能比较简陋而且对一些通过Hook或者Rootkit方式插入正常系统进程或者隐藏的进程显得无能为力。笔者推荐类似IceSword(冰刃)这样的工具,通其可以查看进程的线程及其该进程调用的模块信息,从而帮助管理员找到隐藏的进程。(图2)
图2
在一般情况下,管理员完全可以通过“任务管理器”查看服务器进程情况,在其“进程”选项卡下服务器当前显式进程一目了然。甄别是否是危险进程,管理员要对系统进程或者常用程序的进程比较了解。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定。比如大家可以在“进程知识库”(http://www.dofile.com)进行查看比对。该网站比较详细地列举了“系统进程”、“应用程序进程”、“存在安全风险的进程”。当然,病毒、木马的进程是可以由攻击者更改的,但它们为了达到目的往往会在进程名上做文章,一般会取一个与系统进程类似的名称。通常迷惑手段是变字母o为数字0,变字母l为数字1,如svch0st.exe、exp1orer.exe等,此时要仔细辨别。(图3)
图3
0
投稿猜你喜欢
- 什么是网页快照所谓网页快照,原理是搜索引擎每收录一张网页,就会先把网页进行抓取,并且把网页内容复制并存储起来。搜索引擎并对快照进行分类整理排
- c:\administrators 全部system 全部iis_wpg 只有该文件夹列出文件夹/读数据读属性读扩展属性读取权限c:\ine
广受大家欢迎的发布平台WordPress上个月发布了WordPress 3.0正式版 (取名 “Thelonious”)。此版本引入了非常多- Mozilla已把火狐(Firefox)打造成火红的浏览器,网络上几乎每四名使用者就有一人用Firefox。但下一阶段的挑战大不相同。首先是
- 在 TCP/IP 协议中,"IP地址 + TCP或UDP端口号" 可以唯一标识网络通讯中的一个进程,"IP地址
- 见到论坛里有部分朋友反映发布内容,内容缩略图选择为“站内选择”方式上传图片,上
- 我并不是一个善于思考的人,我做网站的最初目的是消磨时间,因为大学让人感觉很空虚。但是慢慢的随着对做网站的深入,我也慢慢的喜欢上了站长这些可爱
- 1、合理的配置权限,每个站点均配置独立的internet来宾帐号,限制internet 来宾帐号的访问权限,只允许其可以读取和执行运行网站所
- 在刚刚过去的“酷我”粉丝打榜第三季——酷我音乐盒2009版上
- 最新消息,康盛创想(Comsenz)旗下核心产品UCenter Home(简称UCHome)当前应用站点已经超过15万家。UCenter H
- 清除docker无用镜像一、查看 docker 占用的资源在进行资源清理之前我们有必要搞清楚 docker 都占用了哪些系统的资源。这需要综
- 技术对于站长发展中的作用一直存在争论,但现在残酷的竞争面前,仅仅依靠通用论坛程序或者文档管理系统建立千篇一律的个人站点已经毫无出路。个人站长
- 什么是 Elasticsearch?Elasticsearch 是一个分布式的开源搜索和分析引擎,适用于所有类型的数据,包括文本、数字、地理
- 我最早接触SEO是在2002年,从事SEO的人士都应该知道03年中国的SEO市场非常混乱繁杂。把一个网站的关键词两三天之内做到GOOGLE的
- 北京时间9时52分,搜狐公司董事局主席兼首席执行官张朝阳从第十棒火炬手Douglas Jackson手中接过奥运火炬,完成了第11棒火炬手传
- 1、传统媒体的运用在现阶段的中国,传统媒体宣传的影响力仍然远大于网络,特别是对于面向国内的站点,电视、报纸、杂志等这些媒体的效应可以说是立竿
- 本文为大家分享了Ubuntu server版安装图文教程,供大家参考,具体内容如下创建虚拟机步骤1、 创建虚拟机2、 登录系统3. 先启用r
- orderby=digg 就是按照DIGG的次数来排序的{dede:arclist row=5 titlelen=24&
- 搜索引擎是不断地在发展,所以规律也在不停地变化,需要随时跟踪搜索引擎的新动态。这里整理了200个搜索引擎算法的相关因素,好东西啊!1. 关键
- 1.停库[oracle@testdb ~]$ sqlplus / as sysdbaSQL> shutdown immed
