Windows2000服务器入侵前兆检测方法技巧

一、对于WWW服务入侵的前兆检测

对于网络上开放的服务器来说，WWW服务是最常见的服务之一。基于80端口的入侵也因此是最普遍的。很多sceipt kids就对修改WEB页面非常热衷。WWW服务面对的用户多，流量相对来说都很高，同时WWW服务的漏洞和相应的入侵方法和技巧也非常多，并且也相对轻易，很多“黑客”使用的漏洞扫描器就能够扫描80端口的各种漏洞，比如wwwscan 、X-scanner等，甚至也有只针对80端口的漏洞扫描器。Windows系统上提供WWW服务的IIS也一直漏洞不断，成为系统治理员头疼的一部分。

虽然80端口入侵和扫描很多，但是80端口的日志记录也非常轻易。IIS提供记录功能很强大的日志记录功能。在“Internet 服务治理器”中站点属性可以启用日志记录。默认情况下日志都存放在%WinDir%\System32\LogFiles，按照天天保存在exyymmdd.log文件中。这些都可以进行相应配置，包括日志记录的内容。

在配置IIS的时候应该让IIS日志尽量记录得尽量具体，可以帮助进行入侵判定和分析。现在我们要利用这些日志来发现入侵前兆，或者来发现服务器是否被扫描。打开日志文件，我们能够得到类似这样的扫描记录（以Unicode漏洞举例）：

2002-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..蜡../..蜡../..

蜡../winnt/system32/cmd.exe /c dir 404 -

2002-03-10 05:42:28 192.168.1.2 - 192.168.1.1 80 

GET /script/..?../..?../..?../winnt/system32/cmd.exe /c dir 404 -

需要注重类似这样的内容：

/script/..?../..?../..?../winnt/system32/cmd.exe /c dir 404

假如是正常用户，那么他是不会发出这样的请求的，这些是利用IIS的Unicode漏洞扫描的结果。后面的404表示并没有这样的漏洞。假如出现的是200，那么说明存在Unicode漏洞，也说明它已经被别人扫描到了或者已经被人利用了。不管是404或者200，这些内容出现在日志中，都表示有人在扫描（或者利用）服务器的漏洞，这就是入侵前兆。日志也记录下扫描者的来源：192.168.1.2这个IP地址。

再比如这个日志：