tsungchi
2001-05-05, 07:29 AM
WIN2K Server安全入門<二>
入侵檢測初步
上一章我們談到了Win2000 Server的安全配置,經過精心配置的Win2000服務器可以防禦90%以上的入侵和滲透,但是,就象上一章結束時我所提到的︰系統安全是一個連續的過程,隨著新漏洞的出現和服務器應用的變化,系統的安全狀況也在不斷變化著;同時由於攻防是矛盾的統一體,道消魔長和魔消道長也在不斷的轉換中,因此,再高明的系統管理員也不能保證一台正在提供服務的服務器長時間絕對不被入侵。
所以,安全配置服務器並不是安全工作的結束,相反卻是漫長乏味的安全工作的開始,本文我們將初步探討Win2000服務器入侵檢測的初步技巧,希望能幫助您長期維護服務器的安全。
本文中所說的入侵檢測指的是利用Win2000 Server自身的弁鄐峔t統管理員自己編寫的軟件/腳本進行的檢測,使用防火牆(Firewall)或入侵監測系統(IDS)的技巧並不在本文的討論範圍之內。
現在假定︰我們有一台Win2000 Server的服務器,並且經過了初步的安全配置(關于安全配置的詳情可以參鋒in2000 Server安全配置入門<一>),在這種情況下,大部分的入侵者將被拒之門外。(哈哈,我管理員可以回家睡大覺去了)慢著,我說的是大部分,不是全部,經過初步安全配置的服務器雖然可以防禦絕大多數的Script kid(腳本族-只會用別人寫的程式入侵服務器的人),遇到了真正的高手,還是不堪一擊的。雖然說真正的高手不會隨便進入別人的服務器,但是也難保有幾個品行不端的邪派高手看上了你的服務器。(我真的這麼衰麼?)而且,在漏洞的發現與補丁的發布之間往往有一段時間的真空,任何知道漏洞資料的人都可以乘虛而入,這時,入侵檢測技術就顯得非常的重要。
入侵的檢測主要還是根據應用來進行,提供了相應的服務就應該有相應的檢測分析系統來進行保護,對於一般的主機來說,主要應該注意以下幾個方面︰
1、 基於80埠入侵的檢測
WWW服務大概是最常見的服務之一了,而且由於這個服務面對廣大用戶,服務的流量和復雜度都很高,所以針對這個服務的漏洞和入侵技巧也最多。對於NT來說,IIS一直是系統管理員比較頭疼的一部分(恨不得關了80埠),不過好在IIS自帶的日誌弁鈺q某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日誌文件默認存放在System32/LogFiles目錄下,一般是按24小時滾動的,在IIS管理器中可以對它進行詳細的配置。(具體怎麼配我不管你,不過你要是不詳細記錄,回頭查不到入侵者的IP可不要哭)
現在我們再假設(怎麼老是假設呀,煩不煩?)別急呀,我不能為了寫這篇文章真的去黑掉一台主機,所以只好假設了,我們假設一台WEB服務器,開放了WWW服務,你是這台服務器的系統管理員,已經小心地配置了IIS,使用W3C擴展的日誌格式,並至少記錄了時間(Time)、客戶端IP(Client IP)、方法(Method)、URI資源(URI Stem)、URI查詢(URI Query),協議狀態(Protocol Status),我們用最近比較流行的Unicode漏洞來進行分析︰打開IE的窗口,在位址欄輸入︰
127.0.0.1/xxxxxxx/..%c1% 1c../winnt/system32/xx?/c+dir
默認的情況下你可以看到目錄列表(什麼?你已經做過安全配置了,看不到?恢復默認安裝,我們要做個實驗),讓我們來看看IIS的日誌都記錄了些什麼,打開Ex010318.log(Ex代表W3C擴展格式,後面的一串數字代表日誌的記錄日期)︰
07:42:58 127.0.0.1 GET /xxxxxx/..\../winnt/xx32\xx/c+dir 200
上面這行日誌表示在格林威治時間07:42:58(就是北京時間23:42:58),有一個傢夥(入侵者)從127.0.0.1的IP在你的機器上利用Unicode漏洞(%c1%1c被解碼為"\",實際的情況會因為Windows語言版本的不同而有略微的差別)運行了cmd.exe,參數是/c dir,運行結果成央]HTTP 200代表正確返回)。(哇,記錄得可真夠全的,以後不敢隨便亂玩Unicode了)
大多數情況下,IIS的日誌會忠實地記錄它接收到的任何請求(也有特殊的不被IIS記錄的攻擊,這個我們以後再討論),所以,一個優秀的系統管理員應該擅長利用這點來發現入侵的企圖,從而保護自己的系統。但是,IIS的日誌動輒數十兆、流量大的網站甚至數十G,人工檢查幾乎沒有可能,唯一的選擇就是使用日誌分析軟件,用任何語言編寫一個日誌分析軟件(其實就是文本過濾器)都非常簡單,不過考慮到一些實際情況(比如管理員不會寫程式,或者服務器上一時找不到日誌分析軟件),我可以告訴大家一個簡單的方法,比方說你想知道有沒有人從80埠上試圖取得你的Global.asa文件,可以使用以下的CMD命令︰find "Global.asa" ex010318.log /i
這個命令使用的是NT自帶的find.exe工具(所以不怕緊急情況找不著),可以輕松的從文字檔案中找到你想過濾的字串,"Global.asa"是需要查詢的字串,ex010318.log是待過濾的文字檔案,/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔,所以關於這個命令的其他參數以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。
無論是基於日誌分析軟件或者是Find命令,你都可以建立一張敏感字串列表,包含已有的IIS漏洞(比如"+.htr")以及未來將要出現的漏洞可能會調用的資源(比如Global.asa或者cmd.exe),通過過濾這張不斷更新的字串表,一定可以盡早瞭解入侵者的行動。
需要提醒的是,使用任何日誌分析軟件都會佔用一定的系統資源,因此,對于IIS日誌分析這樣低優先級的任務,放在夜堛韃~時自動執行會比較合適,如果再寫一段腳本把過濾後的可疑文本發送給系統管理員,那就更加完美了。同時,如果敏感字串表較大,過濾策略復雜,我建議還是用C寫一個專用程式會比較合算。
2、 基於安全日誌的檢測
通過基於IIS日誌的入侵監測,我們能提前知道窺伺者的行蹤(如果你處理失當,窺伺者隨時會變成入侵者),但是IIS日誌不是萬能的,它在某種情況下甚至不能記錄來自80埠的入侵,根據我對IIS日誌系統的分析,IIS只有在一個請求完成後才會寫入日誌,換言之,如果一個請求中途失敗,日誌文件中是不會有它的蹤影的(這堛漱仇~失敗並不是指發生HTTP400錯誤這樣的情況,而是從TCP層上沒有完成HTTP請求,例如在POST大量數據時異常中斷),對於入侵者來說,就有可能繞過日誌系統完成大量的活動。
而且,對於非80 Only的主機,入侵者也可以從其他的服務進入服務器,因此,建立一套完整的安全監測系統是非常必要的。
Win2000自帶了相當強大的安全日誌系統,從用戶登錄到特權的使用都有非常詳細的記錄,可惜的是,默認安裝下安全審核是關閉的,以至於一些主機被黑後根本沒法追蹤入侵者。所以,我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核,一般來說,登錄事件與賬戶管理是我們最關心的事件,同時打開成巧M失敗審核非常必要,其他的審核也要打開失敗審核,這樣可以使得入侵者步步維艱,一不小心就會露出馬腳。僅僅打開安全審核並沒有完全解決問題,如果沒有很好的配置安全日誌的大小及覆誘閬﹛A一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆跼憧L真正的行蹤。通常情況下,將安全日誌的大小指定為50MB並且只允麻郅7天前的日誌可以避免上述情況的出現。
設置了安全日誌卻不去檢查跟沒有設置安全日誌幾乎一樣糟糕(唯一的優點是被黑了以後
可以追查入侵者),所以,制定一個安全日誌的檢查機制也是非常重要的,作為安全日誌,推
薦的檢查時間是每天上午,這是因為,入侵者喜歡夜間行動(速度快呀,要不你入侵到一半的
時候連不上了,那可是哭都哭不出來)上午上班第一件事正好看看日誌有沒有異常,然後就可
以放心去做其他的事了。如果你喜歡,也可以編寫腳本每天把安全日誌作為郵件發送給你(別
太相信這個了,要是哪個高手上去改了你的腳本,每天發送“平安無事”……)
除了安全日誌,系統日誌和應用程式日誌也是非常好的輔助監測工具,一般來說,入侵者
除了在安全日誌中留下痕跡(如果他拿到了Admin權限,那麼他一定會去清除痕跡的),在系
統和應用程式日誌中也會留下蛛絲馬跡,作為系統管理員,要有不放過任何異常的態度,這樣
入侵者就很難隱藏他們的行蹤。
3、 文件訪問日誌與關鍵文件保護
除了系統默認的安全審核外,對於關鍵的文件,我們還要加設文件訪問日誌,記錄對他們
的訪問。
文件訪問有很多的選項︰訪問、修改、執行、新建、屬性更改......一般來說,關注訪問
和修改就能起到很大的監視作用。
例如,如果我們監視了系統目錄的修改、創建,甚至部分重要文件的訪問(例如cmd.exe,
net.exe,system32目錄),那麼,入侵者就很難安放後門而不引起我們的注意,要注意的
是,監視的關鍵文件和項目不能太多,否則不僅增加系統負擔,還會擾亂日常的日誌監測工作
(哪個系統管理員有耐心每天看四、五千條垃圾日誌?)
關鍵文件不僅僅指的是系統文件,還包括有可能對系統管理員/其他用戶構成危害的任何
文件,例如系統管理員的配置、桌面文件等等,這些都是有可能用來竊取系統管理員資料/密
碼的。
4、 進程監控
進程監控技術是追蹤木馬後門的另一個有力武器,90%以上的木馬和後門是以進程的形式
存在的(也有以其他形式存在的木馬,參見《揭開木馬的神秘面紗三》),作為系統管理員,
瞭解服務器上運行的每個進程是職責之一(否則不要說安全,連系統優化都沒有辦法做),做
一份每台服務器運行進程的列表非常必要,能幫助管理員一眼就發現入侵進程,異常的用戶進
程或者異常的資源佔用都有可能是非法進程。除了進程外,DLL也是危險的東西,例如把原本
是exe類型的木馬改寫為dll後,使用rundll32運行就比較具有迷惑性。
贊助商連結
入侵檢測初步
上一章我們談到了Win2000 Server的安全配置,經過精心配置的Win2000服務器可以防禦90%以上的入侵和滲透,但是,就象上一章結束時我所提到的︰系統安全是一個連續的過程,隨著新漏洞的出現和服務器應用的變化,系統的安全狀況也在不斷變化著;同時由於攻防是矛盾的統一體,道消魔長和魔消道長也在不斷的轉換中,因此,再高明的系統管理員也不能保證一台正在提供服務的服務器長時間絕對不被入侵。
所以,安全配置服務器並不是安全工作的結束,相反卻是漫長乏味的安全工作的開始,本文我們將初步探討Win2000服務器入侵檢測的初步技巧,希望能幫助您長期維護服務器的安全。
本文中所說的入侵檢測指的是利用Win2000 Server自身的弁鄐峔t統管理員自己編寫的軟件/腳本進行的檢測,使用防火牆(Firewall)或入侵監測系統(IDS)的技巧並不在本文的討論範圍之內。
現在假定︰我們有一台Win2000 Server的服務器,並且經過了初步的安全配置(關于安全配置的詳情可以參鋒in2000 Server安全配置入門<一>),在這種情況下,大部分的入侵者將被拒之門外。(哈哈,我管理員可以回家睡大覺去了)慢著,我說的是大部分,不是全部,經過初步安全配置的服務器雖然可以防禦絕大多數的Script kid(腳本族-只會用別人寫的程式入侵服務器的人),遇到了真正的高手,還是不堪一擊的。雖然說真正的高手不會隨便進入別人的服務器,但是也難保有幾個品行不端的邪派高手看上了你的服務器。(我真的這麼衰麼?)而且,在漏洞的發現與補丁的發布之間往往有一段時間的真空,任何知道漏洞資料的人都可以乘虛而入,這時,入侵檢測技術就顯得非常的重要。
入侵的檢測主要還是根據應用來進行,提供了相應的服務就應該有相應的檢測分析系統來進行保護,對於一般的主機來說,主要應該注意以下幾個方面︰
1、 基於80埠入侵的檢測
WWW服務大概是最常見的服務之一了,而且由於這個服務面對廣大用戶,服務的流量和復雜度都很高,所以針對這個服務的漏洞和入侵技巧也最多。對於NT來說,IIS一直是系統管理員比較頭疼的一部分(恨不得關了80埠),不過好在IIS自帶的日誌弁鈺q某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日誌文件默認存放在System32/LogFiles目錄下,一般是按24小時滾動的,在IIS管理器中可以對它進行詳細的配置。(具體怎麼配我不管你,不過你要是不詳細記錄,回頭查不到入侵者的IP可不要哭)
現在我們再假設(怎麼老是假設呀,煩不煩?)別急呀,我不能為了寫這篇文章真的去黑掉一台主機,所以只好假設了,我們假設一台WEB服務器,開放了WWW服務,你是這台服務器的系統管理員,已經小心地配置了IIS,使用W3C擴展的日誌格式,並至少記錄了時間(Time)、客戶端IP(Client IP)、方法(Method)、URI資源(URI Stem)、URI查詢(URI Query),協議狀態(Protocol Status),我們用最近比較流行的Unicode漏洞來進行分析︰打開IE的窗口,在位址欄輸入︰
127.0.0.1/xxxxxxx/..%c1% 1c../winnt/system32/xx?/c+dir
默認的情況下你可以看到目錄列表(什麼?你已經做過安全配置了,看不到?恢復默認安裝,我們要做個實驗),讓我們來看看IIS的日誌都記錄了些什麼,打開Ex010318.log(Ex代表W3C擴展格式,後面的一串數字代表日誌的記錄日期)︰
07:42:58 127.0.0.1 GET /xxxxxx/..\../winnt/xx32\xx/c+dir 200
上面這行日誌表示在格林威治時間07:42:58(就是北京時間23:42:58),有一個傢夥(入侵者)從127.0.0.1的IP在你的機器上利用Unicode漏洞(%c1%1c被解碼為"\",實際的情況會因為Windows語言版本的不同而有略微的差別)運行了cmd.exe,參數是/c dir,運行結果成央]HTTP 200代表正確返回)。(哇,記錄得可真夠全的,以後不敢隨便亂玩Unicode了)
大多數情況下,IIS的日誌會忠實地記錄它接收到的任何請求(也有特殊的不被IIS記錄的攻擊,這個我們以後再討論),所以,一個優秀的系統管理員應該擅長利用這點來發現入侵的企圖,從而保護自己的系統。但是,IIS的日誌動輒數十兆、流量大的網站甚至數十G,人工檢查幾乎沒有可能,唯一的選擇就是使用日誌分析軟件,用任何語言編寫一個日誌分析軟件(其實就是文本過濾器)都非常簡單,不過考慮到一些實際情況(比如管理員不會寫程式,或者服務器上一時找不到日誌分析軟件),我可以告訴大家一個簡單的方法,比方說你想知道有沒有人從80埠上試圖取得你的Global.asa文件,可以使用以下的CMD命令︰find "Global.asa" ex010318.log /i
這個命令使用的是NT自帶的find.exe工具(所以不怕緊急情況找不著),可以輕松的從文字檔案中找到你想過濾的字串,"Global.asa"是需要查詢的字串,ex010318.log是待過濾的文字檔案,/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔,所以關於這個命令的其他參數以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。
無論是基於日誌分析軟件或者是Find命令,你都可以建立一張敏感字串列表,包含已有的IIS漏洞(比如"+.htr")以及未來將要出現的漏洞可能會調用的資源(比如Global.asa或者cmd.exe),通過過濾這張不斷更新的字串表,一定可以盡早瞭解入侵者的行動。
需要提醒的是,使用任何日誌分析軟件都會佔用一定的系統資源,因此,對于IIS日誌分析這樣低優先級的任務,放在夜堛韃~時自動執行會比較合適,如果再寫一段腳本把過濾後的可疑文本發送給系統管理員,那就更加完美了。同時,如果敏感字串表較大,過濾策略復雜,我建議還是用C寫一個專用程式會比較合算。
2、 基於安全日誌的檢測
通過基於IIS日誌的入侵監測,我們能提前知道窺伺者的行蹤(如果你處理失當,窺伺者隨時會變成入侵者),但是IIS日誌不是萬能的,它在某種情況下甚至不能記錄來自80埠的入侵,根據我對IIS日誌系統的分析,IIS只有在一個請求完成後才會寫入日誌,換言之,如果一個請求中途失敗,日誌文件中是不會有它的蹤影的(這堛漱仇~失敗並不是指發生HTTP400錯誤這樣的情況,而是從TCP層上沒有完成HTTP請求,例如在POST大量數據時異常中斷),對於入侵者來說,就有可能繞過日誌系統完成大量的活動。
而且,對於非80 Only的主機,入侵者也可以從其他的服務進入服務器,因此,建立一套完整的安全監測系統是非常必要的。
Win2000自帶了相當強大的安全日誌系統,從用戶登錄到特權的使用都有非常詳細的記錄,可惜的是,默認安裝下安全審核是關閉的,以至於一些主機被黑後根本沒法追蹤入侵者。所以,我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核,一般來說,登錄事件與賬戶管理是我們最關心的事件,同時打開成巧M失敗審核非常必要,其他的審核也要打開失敗審核,這樣可以使得入侵者步步維艱,一不小心就會露出馬腳。僅僅打開安全審核並沒有完全解決問題,如果沒有很好的配置安全日誌的大小及覆誘閬﹛A一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆跼憧L真正的行蹤。通常情況下,將安全日誌的大小指定為50MB並且只允麻郅7天前的日誌可以避免上述情況的出現。
設置了安全日誌卻不去檢查跟沒有設置安全日誌幾乎一樣糟糕(唯一的優點是被黑了以後
可以追查入侵者),所以,制定一個安全日誌的檢查機制也是非常重要的,作為安全日誌,推
薦的檢查時間是每天上午,這是因為,入侵者喜歡夜間行動(速度快呀,要不你入侵到一半的
時候連不上了,那可是哭都哭不出來)上午上班第一件事正好看看日誌有沒有異常,然後就可
以放心去做其他的事了。如果你喜歡,也可以編寫腳本每天把安全日誌作為郵件發送給你(別
太相信這個了,要是哪個高手上去改了你的腳本,每天發送“平安無事”……)
除了安全日誌,系統日誌和應用程式日誌也是非常好的輔助監測工具,一般來說,入侵者
除了在安全日誌中留下痕跡(如果他拿到了Admin權限,那麼他一定會去清除痕跡的),在系
統和應用程式日誌中也會留下蛛絲馬跡,作為系統管理員,要有不放過任何異常的態度,這樣
入侵者就很難隱藏他們的行蹤。
3、 文件訪問日誌與關鍵文件保護
除了系統默認的安全審核外,對於關鍵的文件,我們還要加設文件訪問日誌,記錄對他們
的訪問。
文件訪問有很多的選項︰訪問、修改、執行、新建、屬性更改......一般來說,關注訪問
和修改就能起到很大的監視作用。
例如,如果我們監視了系統目錄的修改、創建,甚至部分重要文件的訪問(例如cmd.exe,
net.exe,system32目錄),那麼,入侵者就很難安放後門而不引起我們的注意,要注意的
是,監視的關鍵文件和項目不能太多,否則不僅增加系統負擔,還會擾亂日常的日誌監測工作
(哪個系統管理員有耐心每天看四、五千條垃圾日誌?)
關鍵文件不僅僅指的是系統文件,還包括有可能對系統管理員/其他用戶構成危害的任何
文件,例如系統管理員的配置、桌面文件等等,這些都是有可能用來竊取系統管理員資料/密
碼的。
4、 進程監控
進程監控技術是追蹤木馬後門的另一個有力武器,90%以上的木馬和後門是以進程的形式
存在的(也有以其他形式存在的木馬,參見《揭開木馬的神秘面紗三》),作為系統管理員,
瞭解服務器上運行的每個進程是職責之一(否則不要說安全,連系統優化都沒有辦法做),做
一份每台服務器運行進程的列表非常必要,能幫助管理員一眼就發現入侵進程,異常的用戶進
程或者異常的資源佔用都有可能是非法進程。除了進程外,DLL也是危險的東西,例如把原本
是exe類型的木馬改寫為dll後,使用rundll32運行就比較具有迷惑性。
贊助商連結