上次培训了WINDOWS系统的黑客入侵技术,这节课我们将会跟大家讲到我们如何做才能有效防御黑客的入侵,首先是通过系统来分析服务器是否被黑客入侵了,或者是否被非法破坏,第二块会告诉大家怎么来做好防范的设置,今天我们就每个部分都讲得尽量细致一些,让大家都能更好的掌握到。

    在我们追查系统是否被黑客入侵的技术中,首先一个就是要学会通过系统的各种日志来进行查,大家经常管理服务器的,我想大家也都知道系统日志是通过“事件查看器”来进行查看的,时间查看器里面包含应用程序日志,安全日志,系统日志等,顾名思意,应用程序日志就是系统里面所有除系统程序之外的其它程序的日志内容,系统日志也就是系统本身的日志,包括什么IIS,SVCHOST.EXE,smss.exe等等系统自带程序的日志内容,而安全日志主要是各类通过权限访问系统的登录/注销的日志内容,这些日志中,只要有异常的情况,日志就会以“[图片]”这样的图标来显示,所以大家在查看日志的时候,都要特别注意这些错误日志的内容,通常日志的内容都是英文的,所以很多人看起来并不是很懂,但是微软也为这些问题做了进一步的解释

比如这条日志

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。微软还提供了一个链接地址,让你能更多的了解到这个问题的原因,这个里面详细记录了这个问题的各方面信息,包括发生日期和时间,来源,类别,用户,以及计算机,还有描述的内容
,这个问题的来源是ASP.NET这个程序,类别是文件监控,这样一个日志,我们大概可以了解到,这是一个由于ASP.NET的文件监控而导致目录D:\web\www.juno-marry.com的文件不能被远程访问,所以我们处理的时候就要去查看一下ASP.NET的支持程序是不是出问题了,当然,如果还有疑问的话,第一,可以去上面提供的链接地址进一步查看,第二,可以根据事件的ID号去微软帮助里查询,大家看看这个里面的事件ID是有一个ID号的,大家如果仔细去看每条日志的情况就应该知道,每种不同的问题都会有不同的ID号,根据这些ID号是都能够在帮助里查到详细的内容,然后大家在查看日志的时候还要注意一个图标

    日志的图标主要有三种,一种是“信息”,第二种是“警告”,第三种是“错误” ,警告这一块也要特别注意,在程序即将崩溃或者要出现问题的时候,系统就会做出警告的信息记录,这是警告的内容

大家看

系统先是有警告的信息出来,接着就出现错误的日志信息,所以我们不得不佩服微软的产品功能开发的是如此的强大,很多人觉得微软的产品经常出这样那样的漏洞,都极力反对微软的产品,但实际上为软件的产品一些强大的功能比起这些漏洞来说的话,简直是不值一提,而且微软的操作系统里面我可以说有90%以上的功能大家都没有使用过,一旦大家都会用的话,那就成为真正的微软产品专家,好了,不扯远了,我们继续了

    现在再来跟大家讲一下系统日志里面都有哪些内容,系统日志里面大部分都是系统服务的内容的日志,WINDOWS 2003/2000和以前的NT4.0架构不一样,内核方面做了很大的改进,特别是在网络服务这一块的技术是完全不同的,而WINDOWS 2003在WINDOWS 2000的基础之上又增强了很多网络服务方面的功能,微软的系统方面的程序大部分都通过系统服务的方式来进行启用和停止等管理,包括很多内核级别的系统程序也都是在服务里面,所以为什么一些杀毒软件要把自身做成服务的形式,这就是为了让自己在启动的时候优于其它大部分启动程序,这样才能有效的去查杀病毒
,不然如果启动的时候事先都被病毒先启动了,那肯定是病毒来杀杀毒软件,而不是相反的操作了,大家看看这个,来源上指的是W3SVC

大家看看系统服务名就是知道W3SVC就是WEB服务,所以对于系统服务日志,大家要着重看,不然搞不好里面哪个崩溃了,你都会连系统都进不去,我们现在再来看最重要的一块,安全性日志,这一块是会记录黑客是否入侵的最为关键的日志内容,所以大家查看的时候,一定要仔细,认真分析,大家看,这些里面都是一些账号登录,注销的信息

这个里面的分类上,有的是“帐户登录”,有的是“登录/注销”信息,相信大家都很想知道,帐户登录指的是用户登录的信息,而“登录 /注销”指的是用户已经登录进来了,然后注销或者是重新连接等信息,然后在很多“登录/注销”信息当中都有登录类型的信息,这一块你能知道用户是通过什么方式来登录的

  登录类型2:交互式登录(Interactive)  这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。 
 登录类型3:网络(Network)  当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。 
 登录类型4:批处理(Batch)  当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。  
    登录类型5:服务(Service)  与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求,是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。    登录类型7:解锁(Unlock)  你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
  登录类型8:网络明文(NetworkCleartext)  这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。  
    登录类型9:新凭证(NewCredentials)  当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它,但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9,如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。
  登录类型10:远程交互(RemoteInteractive)  当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
  登录类型11:缓存交互(CachedInteractive)  Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能,默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。

这些就是登录类型具体的登录方式的描述

 

使用明确凭据的登录尝试: 登录的用户: 用户名: NETWORK SERVICE 域:   NT AUTHORITY 登录 ID:   (0x0,0x3E4) 登录 GUID: – 凭据被使用的用户: 目标用户名: showfresh 目标域: EDONG-46851F27A 目标登录 GUID: – 目标服务器名称: localhost 目标服务器信息: localhost 调用方进程 ID: 1820 源网络地址: – 源端口: –

大家看看这条信息

这里面有个network service的用户使用showfresh这个账号来登录,然后目标服务器的名称是localhost,这指的意思是有一个本地的网络用户通过IIS控制账号SHOWFRESH来登录,也就是说有个用户通过3389登录进入服务器,然后打开IE,访问一个网站,这个网站的访问控制账号是showfresh

 

会话被重新连接到 winstation:
   用户名: Administrator
   域:   EDONG-46851F27A
   登录 ID:   (0x0,0x2314CA)
   会话名称: RDP-Tcp#21
   客户端名: 58D57A921E7941C
   客户端地址: 58.247.37.162
 

    大家再看看这个,会话被重新连接到winstation,这指的是58.247.37.162这个IP的用户重新连接到服务器的远程桌面上了,也就是说这个用户之前登录过,然后退出是直接关闭3389窗口,而不是注销退出,然后又通过相同的账号又登录进来了,所以大家要能够举一反三,重一个日志里面能看出很多问题,这样你才是一个合格的IDC技术人员,所以一旦技术到达一定级别,很多问题都可以解决,不用动不动就重装,也会让客户更满意咱们IDC的技术服务,响应速度快,处理速度快,嘴巴又甜,你说哪个客户会不喜欢你们?!

    日志这一块我们还要注意要有一个良好的管理规范,最好是每台服务器定期技术都能登录进来多看看日志,特别是对于一些警告和错误的信息,安全性日志这一块要着重看好,我们日志这一块就先讲这么多,除了日志这一块之外,很重要的一个方面就是系统账号,这一块非常的重要,90%以上的黑客登录进入服务器都会用账号的方式来登录,所以经常是管理员发现了账号,删除了,但没过几天黑客又建立了新账号,来来回回,搞来搞去人都被搞烦了,客户也不满意了,我们打开“计算机管理”,打开里面的“本地用户和组”就能看到用户组和用户名,用户组是有多种不同等级的权限,而每个用户是隶属一个或多个用户组的

*Administrators
*Backup Operators
*Distributed COM Users
*Guests
*HelpServicesGroup
*IIS_WPG
*Network Configuration Operators
*Performance Log Users
*Performance Monitor Users
*Power Users
*Print Operators
*Remote Desktop Users
*Replicator
*TelnetClients
*Users

大家看看,这些就是用户组,不用的用户组都有不同的用处,比如Remote Desktop Users就是远程桌面登录的用户组,*Print Operators就是打印的操作员用户组,用得比较多的用户组有guests,users,administrators,系统自带的guest账号就是guests组的,administrator就是administrators组的,当然你也可以根据你的需要自己建立一些组别出来,然后把不同用户放置在不同的组里面,我们再来看看账号这一块

Administrator            ASPNET                   Guest
IUSR_EDONG-46851F27A     IUSR_EDONG-C34CEB4B1     IWAM_EDONG-46851F27A
IWAM_EDONG-C34CEB4B1                    SQLDebugger
SUPPORT_388945a0

SQLDebugger
SUPPORT_388945a0

Administrator      Guest   IUSR_EDONG-46851F27A   IWAM_EDONG-46851F27A   SUPPORT_388945a0

这几个账号是系统装好之后就有的,ASPNET是系统安装了ASP.NET组件之后被建立的,SQLDEBUGGER是安装了MSSQL之后被建立的SUPPORT_388945a0禁用,SQLDEBUGGER只要是GUESTS组就可以,我们自己是用我们的软件来管理这些账号的,随时监控这些账号,你直接修改这些账号和密码都是修改不了,只有通过我们的软件才能建立和修改账号,所以对黑客来说是很头疼的,SQLDEBUGGER禁用了会让SQL出问题的,我们以前也删除了,但是过了几天,SQL就启动不了,SQL 查询分析器包括 T-SQL 调试程序。 通过使用 T – SQL 调试器, 您可以控制并监视运行如何存储过程。 T-SQL 调试程序使用,SQLDebugger Windows 用户帐户来连接到数据库服务器。如果大家使用不到T-SQL调试程序,那问题倒不是很大
虚拟主机 基本没人用这个. 对于guest账号,大家要记住,正常情况下是禁用的,这个账号经常会被黑客利用,还有IUSR_EDONG-46851F27A 和 IWAM_EDONG-46851F27A
IWAM_EDONG-46851F27A是启动IIS进程的账号
IUSR_EDONG-46851F27A是网站访问控制的账号
所以你发现你们服务器里面网站打开的时候弹出一个密码框,让你输入帐户和密码,那就说明很有可能是你的IUSR_EDONG-46851F27A账号出问题了,要么被删除了,要么被改了密码,对于administrator这个账号,建议大家把账号名称改掉,这样可以避免黑客利用这个账号来实施入侵,除了这些系统正常的账号之外,还有一种账号大家要小心,这就是克隆账号,克隆账号可以把administrator账号克隆成一个新建的账号,或者是克隆成guests账号,然后guest账号仍然设为禁用,但是他远程可以用guest账号来登录,而且登录进来权限是administrator,而且还可以建立一个管理员账号A,然后把A账号克隆到B账号上,然后再把A账号删除,这样你即使看到了非法的B账号,但是你怎么删除都删除不了,当然,再可怕的东西我们都有办法来解决它

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

大家可以进入注册表的这个项里面来看看,这个里面会有详细的账号信息,克隆账号也会在这个里面,当然克隆账号是可以在账号里面看不到的,像幽灵一样,把SAM的权限里面的EVERYONE添加上就可以看到了,我们现在也把查找并删除克隆账号的功能增加到红盟防御软件上了,用我们软件直接就可以找到克隆账号并删除,克隆账号是黑客利用得最多的技术手段。今天由于时间的关系,我们就先讲到这里,其它的内容我们在下节课进行讲解 。