我们来分析这些日志:
2002-03-10;06:41:19;192.168.21.130;administrator;[36]USER;administrator;331;
2002-03-10;06:41:19;192.168.21.130;-;[36]PASS;-;530
这表示用户名administrator请求登录 , 但是登录失败了 。当在日志中出现大量的这些登录失败的记录 , 说明有人企图进行FTP的帐号猜解 。这就是从FTP服务来入侵的入侵前兆 。
分析这些日志的方法也跟前面分析WWW服务的日志方法类似 。因为FTP并不能进行帐号的枚举 , 所以 , 如果发现有攻击者猜测的用户名正好和你使用的帐号一致 , 那么就需要修改帐号并加强密码长度 。
三、系统帐号密码猜解入侵的前兆检测
对于Windows;2003服务器来说 , 一个很大的威胁也来自系统帐号密码的猜解 , 因为如果配置不佳的服务器允许进行空会话的建立 , 这样 , 攻击者能够进行远程的帐号枚举等 , 然后根据枚举得到的帐号进行密码的猜测 。即使服务器拒绝进行空会话的建立 , 攻击者同样能够进行系统帐号的猜测 , 因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名 。那些安全工具 , 比如“流光”等 , 就可以进行这样的密码猜测 , 通过常用密码或者进行密码穷举来破解系统帐号的密码 。
要检测通过系统帐号密码猜解的入侵 , 需要设置服务器安全策略 , 在审核策略中进行记录 , 需要审核记录的基本事件包括:审核登录事件、审核帐户登录事件、帐户管理事件 。审核这些事件的“成功、失败” , 然后我们可以从事件查看器中的安全日志查看这些审核记录 。
比如:如果我们在安全日志中发现了很多失败审核 , 就说明有人正在进行系统帐号的猜解 。我们查看其中一条的详细内容 , 可以看到:
登录失败:
原因:用户名未知或密码错误
用户名:administrator
域:ALARM
登录类型:3
登录过程:NtLmSsp
身份验证程序包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名:REFDOM
进行密码猜解的攻击者打算猜测系统帐号administrator的密码 , 攻击者的来源就是工作站名:REFDOM , 这里记录是攻击者的计算机名而不是他的IP地址 。
当我们发现有人打算进行密码猜解的时候 , 就需要对相应的配置和策略进行修改 。比如:对IP地址进行限制、修改被猜解密码的帐号的帐号名、加强帐号密码的长度等等来应对这样的入侵 。
四、终端服务入侵的前兆检测
Windows2003;提供终端控制服务(Telminal;Service) , 它是一个基于远程桌面协议(RDP)的工具 , 方便管理员进行远程控制 , 是一个非常好的远程控制工具 。终端服务使用的界面化控制让管理员使用起来非常轻松而且方便 , 速度也非常快 , 这一样也让攻击者一样方便 。而且以前终端服务存在输入法漏洞 , 可以绕过安全检查获得系统权限 。对于打开终端服务的服务器来说 , 很多攻击者喜欢远程连接 , 看看服务器的样子(即使他们根本没有帐号) 。
对终端服务进行的入侵一般在系统帐号的猜解之后 , 攻击者利用猜解得到的帐号进行远程终端连接和登录 。
在管理工具中打开远程控制服务配置 , 点击"连接" , 右击你想配置的RDP服务(比如;RDP-TCP(Microsoft;RDP;5.0) , 选中书签"权限" , 点击"高级" , 加入一个Everyone组 , 代表所有的用户 , 然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败 , 这个审核是记录在安全日志中的 , 可以从"管理工具"->"日志查看器"中查看 。但是这个日志就象前面的系统密码猜解那样 , 记录的是客户端机器名而不是客户端的IP地址 。我们可以做一个简单的批处理bat文件(文件名为TerminalLog.bat) , 用它来记录客户端的IP , 文件内容是:
推荐阅读
- 图 使用Windows Server 2003搭建安全服务器
- 强化Win2003文件服务器
- 群集的形成和操作
- 下 Win2K安装与服务器配置
- 使用Win Server 2003搭建安全文件服务器
- 更贴心更实用!为Windows2003移植系统还原
- 用Win 2003配置邮件服务器
- 用Windows Server 2003搭建安全文件服务器
- 上 windows 2K安装与服务器配置
- 如何配置windows 2003的DNS服务器