Windows2003服务器入侵前兆检测技巧(2)
作者:佚名 来源:比特网论坛 发布时间:2009-05-27 10:49:00
二、对于FTP等服务入侵的前兆检测
根据前面对于WWW服务入侵前兆的检测,我们可以照样来检测FTP或者其他服务(POP、SMTP等)。以FTP服务来举例,对于FTP服务,通常最初的扫描或者入侵必然是进行帐号的猜解。对于IIS提供的FTP服务,也跟WWW服务一样提供了详尽的日志记录(如果使用其他的FTP服务软件,它们也应该有相应的日志记录)。
我们来分析这些日志:
2002-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331
2002-03-10 06:41:19 192.168.21.130 - [36]PASS - 530
这表示用户名administrator请求登录,但是登录失败了。当在日志中出现大量的这些登录失败的记录,说明有人企图进行FTP的帐号猜解。这就是从FTP服务来入侵的入侵前兆。
分析这些日志的方法也跟前面分析WWW服务的日志方法类似。因为FTP并不能进行帐号的枚举,所以,如果发现有攻击者猜测的用户名正好和你使用的帐号一致,那么就需要修改帐号并加强密码长度。
三、系统帐号密码猜解入侵的前兆检测
对于Windows 2003服务器来说,一个很大的威胁也来自系统帐号密码的猜解,因为如果配置不佳的服务器允许进行空会话的建立,这样,攻击者能够进行远程的帐号枚举等,然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立,攻击者同样能够进行系统帐号的猜测,因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名。那些黑客工具,比如“流光”等,就可以进行这样的密码猜测,通过常用密码或者进行密码穷举来破解系统帐号的密码。
要检测通过系统帐号密码猜解的入侵,需要设置服务器安全策略,在审核策略中进行记录,需要审核记录的基本事件包括:审核登录事件、审核帐户登录事件、帐户管理事件。审核这些事件的“成功、失败”,然后我们可以从事件查看器中的安全日志查看这些审核记录。
比如:如果我们在安全日志中发现了很多失败审核,就说明有人正在进行系统帐号的猜解。我们查看其中一条的详细内容,可以看到:
登录失败:
原因:用户名未知或密码错误
用户名:administrator
域:ALARM
登录类型:3
登录过程:NtLmSsp
身份验证程序包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名:REFDOM
进行密码猜解的攻击者打算猜测系统帐号administrator的密码,攻击者的来源就是工作站名:REFDOM,这里记录是攻击者的计算机名而不是他的IP地址。
当我们发现有人打算进行密码猜解的时候,就需要对相应的配置和策略进行修改。比如:对IP地址进行限制、修改被猜解密码的帐号的帐号名、加强帐号密码的长度等等来应对这样的入侵。
猜你喜欢
- 有些使用的Godaddy主机的朋友会问我这样的问题,他购买的是Deluxe Plan+linux系统+SSL系列的主机,程序安装无误,但是在
- 有一段时间用户经常问我们,如果某个网站在谷歌机器人搜索时处于关闭状态,那么该网站在谷歌搜索结果中的“可见度”是否会受到负面影响。有时网站关闭
- 百度热门关键词能带来很大的流量,这是大家有目共睹的事情。看看百度指数,如“货架”、“手机”这些词每天的检索量都过千过万。现在SEO教程都是“
- 被认为是资本“避风港”的中国网络游戏市场在全球经济风暴中可谓大放异彩。日前,易观国际发布的《2009年第2季度中国网络游戏市场季度监测》显示
- Windows Server自带的互联网信息服务器(Internet Information Server,IIS)是架设网站服务器的常用工
- 网络赚钱方式的话题我想是广大站长最关心的问题了,除了Google外哪些更值得信赖几乎就百家争鸣了,情有可缘,如果不是亲身试验过,谁也拿不准。
- 1. 首页在哪里?你要确保在博客页面的顶部位置有一个明显的“首页”链接。2. 将你的logo链向你的
- 网址规范化一直是困扰站长以及搜索引擎的一个问题。据估计,网上有10%-30%的URL是内容相同但URL不一样的不规范化网址。这就造成几个问题
- 有Godaddy用户问如何添加Godaddy子域名,那让我们首先先来了解下什么是子域名,子域名是为你的站点的各个部分建立易记的网址的一个简便
- 相信大家在为网站录入文章的时候都有过这样的经历:明明是一篇已经添加好图片的Word文档,在html编辑器里却只能copy文本而不能贴图,最后
- Apache服务器的设置文件位于/usr/local/apache/conf/目录下,传统上使用三个配置文件httpd.conf,acces
- 北京时间11月19日上午消息,网易今早公布2009财年第三季财报,管理层随后于9点举行分析师电话会议,网易CEO丁磊及代理CFO蔡安活参会并
- 给系统文件设置权限系统文件对系统的稳定性有无可争议的作用,同时对系统的操作也是通过这些系统文件进行的。通过设置系统文件的访问权限,让一些操作
- Google使用两个探测器来抓取网站上的内容:Freshbot和Deepbot。深度探测器(Deepbot)每月出击一次,受访内容在Goog
- 有趣的是,用链接文本方式或者其他方法做关键词优化的索引页有时也不能占据前10名搜索结果的位置,但相同域名的内页仍可以做到,至少排名在前20名
- 最近以来,许多关系老百姓衣食住行的B2C网站开始大量涌现,有在网上卖童装、卖衬衫、卖内衣、卖鞋子、卖米面粮油的,一应俱全。而一家以鞋业行业网
- 对于我们做网站排名优化的SEOER来说一定要会分析对手,通过对对手网站的分析,可以使得我们更加好的做到知己知彼,知道自己网站的长处和对手的长
- 认识站长朋友太多,赚钱多的、赚钱少的、做大的、做小的,各类都认识不少,自己也偶尔也被当作站长称呼,今天收到张翔寄来一本杂志,感慨万千,不吐不
- 许多web浏览器都比IE更易于使用,并且不会那么容易就受到黑客和其它威胁的攻击。 大家似乎很难想起来还有许多可以替代IE的web
- Google Adsense最新的动作挺频繁的。继取消地区的Adsense推介费用、广告换成大字体、产品名称改成中文名。现在推出了一个可能会