位置：首页>> 网站运营>> 搞好服务器的入侵检测（10）

搞好服务器的入侵检测（10）

作者：雨林　来源：站长网　发布时间：2008-09-26 18:51:00　

标签：服务器,安全,入侵

10.检查启动项

攻击者在控制服务器后，往往会上传一个木马服务端，这个服务端除了注册为系统服务器外，有的会添加到系统启动项里随系统启动。因此，对服务器的入侵检测启动项也是一个重要的地方。

启动项的检查可用的方法主要有以下三个：

(1).Msconfig工具。运行该工具，在“启动”选项卡下可以看到随系统启动的程序，只需取消对可疑程序启动的勾选即可。

(2).regedit(注册表)工具。运行该工具，定位到如 * 册表项下进行检查：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

以上的键值会出现在msconfig的“启动”项中。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

以上的键值比较隐蔽

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="EXPLORER.EXE,*.exe"

*为某病毒或者木马的可执行文件，这种方法非常隐蔽，被当前的许多病毒采用。

(3).专门工具。这样的工具比较多，比如RegRunFirst就不错。运行后点选左边相关的注册表启动项项，就可以看到该项下的启动程序。

另外，"C:\Documents and Settings\Administrator\「开始」菜单\程序\启动"也是个比较危险的地方。比如攻击者获得了一Web服务器的webshell，没有命令执行权限但具有对该目录的写权限，就可以向该目录上传木马程序等服务器重启后木马也就运行了。(图14)

图14

总结：以上我们从10个方面进行了服务器的入侵检测，其实在实战中没有必要一一进行，笔者只是尽量囊括服务器入侵检测的方方面面。毫无例外，服务器的安全也遵循木桶原理，它的安全性往往取决于自身最脆弱的地方，因此这些地方应该成为入侵检测的重点。 www.ilovexs.cn 我爱3gp电影网别忘记了__嘻嘻__

第一页上一页 6 7 8 9

投稿

搞好服务器的入侵检测（10）

猜你喜欢