Win2000 Server入侵监测揭秘
2006-04-03 12:03:21 来源:WEB开发网核心提示: 除了安全日志,系统日志和应用程序日志也是非常好的辅助监测工具,Win2000 Server入侵监测揭秘(5),一般来说,入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限,DLL也是危险的东西,例如把原本是exe类型的木马改写为dll后,那么他一定会去清除痕迹的),在系统和应用程序
除了安全日志,系统日志和应用程序日志也是非常好的辅助监测工具,一般来说,入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限,那么他一定会去清除痕迹的),在系统和应用程序日志中也会留下蛛丝马迹,作为系统管理员,要有不放过任何异常的态度,这样入侵者就很难隐藏他们的行踪。
3、文件访问日志与关键文件保护
除了系统默认的安全审核外,对于关键的文件,我们还要加设文件访问日志,记录对他们的访问。
文件访问有很多的选项:访问、修改、执行、新建、属性更改......一般来说,关注访问和修改就能起到很大的监视作用。
例如,如果我们监视了系统目录的修改、创建,甚至部分重要文件的访问(例如cmd.exe,net.exe,system32目录),那么,入侵者就很难安放后门而不引起我们的注意,要注意的是,监视的关键文件和项目不能太多,否则不仅增加系统负担,还会扰乱日常的日志监测工作
(哪个系统管理员有耐心每天看四、五千条垃圾日志?)
关键文件不仅仅指的是系统文件,还包括有可能对系统管理员/其他用户构成危害的任何文件,例如系统管理员的配置、桌面文件等等,这些都是有可能用来窃取系统管理员资料/密码的。
4、进程监控
进程监控技术是追踪木马后门的另一个有力武器,90%以上的木马和后门是以进程的形式存在的,作为系统管理员,了解服务器上运行的每个进程是职责之一(否则不要说安全,连系统优化都没有办法做),做一份每台服务器运行进程的列表非常必要,能帮助管理员一眼就发现入侵进程,异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外,DLL也是危险的东西,例如把原本是exe类型的木马改写为dll后,使用rundll32运行就比较具有迷惑性。
更多精彩
赞助商链接