网站运营
位置:首页>> 网站运营>> 搞好服务器的入侵检测(3)

搞好服务器的入侵检测(3)

作者:雨林 来源:站长网 发布时间:2008-09-26 18:51:00 

标签:服务器,安全,入侵

3.检查系统帐号

攻击者在入侵服务器后,为了达到后期的一直控制往往要创建系统帐户,这帐户往往是管理员组的。比如敲入命令“net user lw "test168" /add & net localgroup administrators lw /add”(不含引号)就创建了一个用户名为lw,密码为test168的管理员用户。对于这样的用户,管理员可以在命令提示符(cmd.exe)下敲入“net user”或者打开“计算机管理”,展开“本地用户和组”查看administrators组是否有陌生帐户添加以确定入侵。

当然,一个狡猾的入侵者不会这么做,他们会通过各种方法进行帐户的隐藏。其常用的伎俩不外乎四种。

(1).激活服务器的Guest用户,并把其加入管理员组。对此,管理员一定要查看在administrators组中是否有个guest用户。如果存在,几乎可以肯定服务器被入侵了。

(2).创建隐藏帐户。入侵者在帐户的后面加“$”,比如把上面的命令改为“net user lw$ "test168" /add & net localgroup administrators lw$ /add”,就创建了一个lw$用户,该用户在命令提示符(cmd.exe)下输入“net user”命令是看不到的,但在“本地用户和组”中可以看到。

(3).克隆帐户。这应该是入侵者最常使用的,他们往往会克隆administrator帐户,这个帐户无论在命令提示符、“本地用户和组”设置注册表的“sam”项下也无法看到,隐蔽性极高。对此,管理员必须得通过工具才能查看系统中是否有克隆帐户。笔者推荐mt.exe,mt被很多杀毒软件定义为木马,也是攻击者进行帐户克隆的首选工具,但其也可以让系统中克隆帐户现行。

具体操作是:在命令提示符下进入mt目录输入命令:mt -chkuser。输入命令后,会在屏幕中输出结果,主要查看ExpectedSID和CheckedSID,如果这两个值不一样则说明账号被克隆了。在本例中可以看到账号simeon$的CheckedSID跟Administrator的CheckedSID值一样,说明simeon$克隆了Administrator账号。(图4)



图4

(4).Rookit帐户。通过Rootkit创建的帐户具有克隆帐户隐藏的所有特点,也具有非常高的隐蔽性。对于这样的危险帐户的清除首先要清除系统中的Rookit程序,只有把其清除了,所有的隐藏帐户就会显形。笔者推荐工具RootKit Hook Analyzer,其可以分析检测系统中的Rootkit程序并用红色显示出来,然后管理员就可以结束它。(图5)



图5

第一页 上一页 1 2
3
4 5 下一页
0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com