Win2000サーバーの侵入検知

適切に設定されたWin2000サーバーは侵入や侵入の90％以上を防ぐことができますが、前の章の最後で述べたように、システムセキュリティは新しいプロセスと共に継続的なプロセスです。脆弱性の出現とサーバーアプリケーションの変化、システムのセキュリティステータスも絶えず変化しています;同時に、攻撃と防御は矛盾の一致であるため、Tao XiaomaoとDevilsは絶えず変化しているので、システムはより洗練されています。管理者は、サービスを提供しているサーバーが長期間にわたって侵害されることがないことを保証できません。

したがって、セキュリティ構成サーバーはセキュリティ作業の終わりではなく、長く面倒なセキュリティ作業の始まりとなりますこの記事では、サーバーを長期間保守するのに役立つことを願って、最初にWin2000サーバー侵入検知の初期手法について説明します。安全です。

この記事に記載されている侵入検知とは、Win2000 Serverの機能およびシステム管理者が書いたソフトウェアやスクリプトの検知を指しており、ファイアウォールや侵入検知システム（IDS）を使用する手法はこの文書にはありません。議論の範囲内。

Win2000サーバーサーバーがあり、予備的なセキュリティ設定が行われているとします（セキュリティ設定の詳細については、 『Win2000サーバーセキュリティ設定入門< 1>』をご覧ください）。ほとんどの侵入者は嫌われます。 （笑、私の管理者は家に帰って眠りにつくことができます）サーバーの初期セキュリティ設定がスクリプトの大部分を保護できるようになった後は、全部ではなくほとんどを言いました（スクリプトファミリー - 使用のみ本当のマスターに出会った、サーバーに侵入するためのプログラムを書いた誰かがまだ脆弱です。本当のマスターは他人のサーバーにさりげなく入るわけではありませんが、悪意のあるいくつかのマスターがあなたのサーバーに夢中になっていることを確認するのは困難です。さらに、この脆弱性の発見からパッチのリリースまでの間に、しばしば空白があるため、この脆弱性情報を知っている人なら誰でもこれを利用することができます。重要です。

侵入の検出は主にアプリケーションに基づいています対応するサービスが提供されている場合、保護のための対応する検出および分析システムがあるはずです一般ホストの場合、以下に注意を払う必要があります。 >

1. 80ポート侵入に基づく検出

WWWサービスはおそらく最も一般的なサービスの1つであり、このサービスは多数のユーザーに直面しているため、サービスのトラフィックと複雑さは非常に高いので、このサービスに対する最も脆弱な脆弱性および侵入技術。 NTの場合、IISは常にシステム管理者にとって頭痛の種でした（私はポート80をシャットダウンするのを待つことができません）が、幸いなことに、IISのロギング機能はある程度侵入検知の強力な手助けになります。 IISに付属するログファイルは、既定ではSystem32 /LogFilesディレクトリに格納されており、通常は24時間スクロールされ、IISマネージャで詳細に構成できます。 （どのようにしたらあなたと一致しますか？しかし、もしあなたが詳細に記録しなければ、侵入者のIPを見つけることができず、泣くこともできません。）

さて、仮定しましょう。緊急には、この記事を書くためにホストをブラックアウトすることはできませんので、私たちはWEBサーバーを想定してWWWサービスを開くと仮定する必要があります。 IIS、W3C拡張ログ形式を使用し、少なくとも記録された時間（Time）、クライアントIP（Client IP）、メソッド（Method）、URIリソース（URI Stem）、URIクエリ（URI Query）、プロトコルステータス（Protocol）ステータス）、分析のために最近人気が高いUnicodeの脆弱性を使用します。IEウィンドウを開き、アドレスバーに127.0.0.11/scripts/..%c1% 1c ../winnt /system32 /cmd.exeと入力しますか？ /c + dirデフォルトでは、ディレクトリの一覧が表示されます（セキュリティ設定を行ったのか、表示できないのですか？デフォルトのインストールを復元します。実験を行う必要があります）、IISログを見てみましょう。はじめに、Ex010318.logを開きます（ExはW3C拡張フォーマットを表し、その後にログ記録日を表す数字のストリングが続きます）：07:42:58 127.0.0.1 GET /scripts/..../winnt/system32cmd.exe /c + dir 200より上のログは、GMTの07:42:58 GMT（23:42:58 GMT）にIPアドレス127.0.0.1からUnicodeを使用している人（侵入者）がいることを示しています。脆弱性（％c1％1cは"としてデコードされます、実際の状況はWindowsの言語バージョンにより多少異なります）cmd.exeを実行します。パラメータは/c dirです。結果は成功です（HTTP 200は正しいを表します）戻る） （うわー、本当に記録がいっぱいです。将来は気軽にUnicodeをプレイすることを敢えてしないでください）

ほとんどの場合、IISログは受信した要求を忠実に記録します（特別なIISは攻撃について記録していますが、これについては後で説明します。そのため、優れたシステム管理者はこれを使用してシステムを保護するための侵入の試みを発見するのが得意です。しかし、IISのログは数十メガバイト、トラフィックは数十Gにもなりますが、手動でチェックすることはほとんど不可能です。非常に単純ですが、実際の状況（管理者がプログラムを作成しない、またはログ分析ソフトウェアがサーバー上に見つからないなど）を考えると、単純な方法を使用できます。 Global.asaファイルを入手するには、次のCMDコマンドを使用してください。find" Global.asa" ex010318.log /iこのコマンドは、NT独自のfind.exeツールを使用します（したがって、非常に心配する必要はありません）。 ）、「Global.asa」はクエリする文字列、ex010318.logはフィルタするテキストファイル、/iは大文字と小文字を区別しないという意味です。この記事をMicrosoftのヘルプ文書として書くつもりはないので、このコマンドの他のパラメータとその拡張バージョンのFindStr.exeの使用法については、Win2000のヘルプファイルをチェックしてください。
zh-CN"],null,[1],zh-TW"]]]