windows2000入侵检测技术简述

文章作者：云舒
信息来源：zjisp.vicp.net

因为工作需要，我就把别人写的些文章和我自己学习工作中的一点实际经验综合一下，写个windows2000入
侵检测技术。我只对windows2000+iis系统较为熟悉，所以这篇文章只讲这方面的。有不对的，还请指出，谢谢
了！

  入侵检测，首先就是要发现入侵者。发现入侵者，有很多方法，主要靠管理员的经验和负责程度了。根据
一些症状，我们可以大致判断系统被入侵。比如，某些文件的存取时间或者存取权限被改变，某些服务的启动
时间明显和其他的服务不同等等。还有查看日志，日志只要查看系统日志，安全日志和应用程序日志。如果审
核策略做的比较好的话，几乎能够记录到入侵者的一举一动。还有就是终端服务了，现在的入侵者一般都喜欢
打开这个，而且在服务里面还是显示终端服务没有安装。如果入侵者不小心的话，会在他的配置文件里面留下
大量的操作记录，配置文件默认存放在系统盘的Documents and Settings下面以用户名为目录。在这个目录下
面有很多隐藏的目录，包括recent，Templates和Local Settings，他们有的还有下级目录。其中recent目录在
发现通过终端登陆的入侵者极其有用，因为入侵者访问的目录，文件在这里全部都有记录。值得注意的是，入
侵者有可能会修改他的配置文件存放地点！在我的客户的一台服务器上面，入侵者就把他的配置文件修改到了
c:/winnt/temp下面，让我走了很多弯路。
 
  下面就是入侵后的后门清除和数据恢复了，要清楚后门就必须了解它。在这里我对后门做些简单的介绍。
现在可以说是到了后门极其丰富的时代，我只能尽力的解释一些自己知道的，有不对的地方，还请指点。按照
我的观点，后门可以分为传统的shell后门，较新的脚本后门，以及最新的一些rootkit，还有我不知道该如何
分类的克隆帐号。为了逃避杀毒软件和防火墙，传统的shell后门现在又都有了很多新的发展。其中可以分为基
于嗅探的套接字后门，代表作有红客联盟(http://www.cnhonker.org)站长lion的Ping Door V0.41，采用了监
听特定的icmp数据包的办法，现在还有了小容(http://www.netxeyes.org)的BITS和WinEggDrop的portless；基
于进程插入的后门，代表作有WinEggDrop的WinEggDrop Shell系列版本；至于反向连接，现在已经成了后门必
不可少的功能了，也就不多说了。较新的脚本后门主要是asp后门,perl后门和php后门了，我对asp了解多点，
就主要谈谈asp后门。asp后门主要分为使用FileSystemObject组件和shell.application组件两种，由于asp脚
本写作较为容易，所以变种较多，而且隐蔽性极强不易被查杀。不久前出现了一篇介绍利用iis缺陷配置后门的
文章（http://haowawa.8866.org/wenzhai/list.asp?id=373)，envymask还为那个dll文件写了一个bat来安装
，直接通过80端口得到system权限的shell，这个我觉得应该也算是脚本后门的一种。普通的asp后门最大的问
题就是权限，但是受《IIS配置文件后门》这篇文章的影响，已经出现好几种改变asp脚本执行权限的方法，我
以前写过类似的文章，这里就不详细描述了。至于rootkit，深入到系统内核加栽，以我目前的水平，还不足以
弄明白，就不多说了，只知道有hxdef和ntrootkit两种。

  明白了各种后门的原理，我就来说说清理方法。一般的传统后门都要打开特定的端口来等待入侵者连接，
并且安装成系统服务来启动自己。比如独孤剑客的winshell默认打开5277端口，服务名默认是WinShell；
WinEggDrop的WinEggDrop Shell默认端口是12345，默认服务名是Windows Internet Services。知道这些特征，
对于检测后门有很大的帮助，虽然一般的入侵者都会修改这些信息，但是打开端口是跑不掉的。查找后门，最
好是把进程和端口关联起来。这里，我推荐使用fport，功能极强，可以去http://www.foundstone.com免费下
载得到。看到打开了可疑端口的进程就要杀掉，杀进程推荐使用pskill，能够杀掉本地，远程进程，在
http://www.sysinternals.com免费下载得到。对于那些不打开端口的基于嗅探的后门，用这种方法就无能为
力了，主要凭借管理员的经验了。这种后门一直在分析服务器收到的数据包，会导致系统的丢包率增加，而且
这种后门一般的也要安装成服务，有经验的管理员应该能够从这些异常里面发现一些后门。其实查杀后门有个
最简单的办法，那就是诺顿了。把诺顿升级到最新的病毒库，并且打开文件系统实时防护，应该可以减少很多
病毒，后门的侵扰。用诺顿对系统进行完全的扫描，就能够发现几乎全部的流传较为广泛的后门，这也是管理
员偷懒的一个好办法。
  一般的脚本后门也能够利用杀毒软件查获到，仅对asp后门而言，一般的入侵者会更改asp脚本的启动权限
，这样反而给了管理员一个查获asp后门的捷径。执行C:/Inetpub/AdminScripts目录下面的脚本cscript
adsutil.vbs get w3svc/inprocessisapiapps，能够得到以system权限启动的dll文件。asp.dll默认是不在其
中的，如果在这里发现了asp.dll，那么几乎可以肯定被安装了asp后门。脚本后门的隐藏方式一般是使用和一
些web文件相似的名字，查找的时候注意这样的可以事半功倍。而且对于基于FileSystemObject组件的asp木马，
regsvr32 scrrun.dll /u /s就删除了FileSystemObject组件，对于基于shell.application组件的asp木马，
我们可以regsvr32 shell32.dll /u /s删除shell.application组件。特别的，在Internet 服务管理器里面删
除一些用不着的映射，就能够有效的防止iis配置文件后门了。
  最后要说的就是rootkit了，其实对这个我也不是很了解。RKDetectorv可以查出目前流行的一些rootkit，
包括hxdef等，查杀原理我不是很清楚，安全焦点(http://www.xfocus.net)有免费下载的。关于查杀rootkit,
WinEggDrop提出了一种方法，基本原理是rootkit隐藏的服务都是无法对远程的枚举服务进行隐藏的,那我们只
要对比一下远程枚举出来的服务和本地枚举出来的服务,就能得到rootkit隐藏了的服务。他的文章在
http://www.ph4nt0m.net/bbs/showthread.php?s=&threadid=31018可以看到。

  清理了后门之后，就应该反省自己了！把系统设置不好的地方一一改正过来，并且作些详细认真的安全策
略。首先要做的就是及时安装好各种补丁程序，禁用危险的服务。其次就是端口过滤，安全要求较高的还可以
进行ip过滤。最后就是系统文件的权限设置了，尽量做得变态些吧！对于一些比较危险的程序，比如cmd.exe,
net.exe,ftp.exe,tftp.exe,ipconfig.exe,telnet.exe等等，让权限较低的用户不能有任何权限。

  好了，这篇文章到此结束，如有不对的地方，还请指点,我的电子邮件是wustyunshu@hotmail.com