Windows 2000服务器入侵前兆检测方法技巧

核心提示： 2002-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..蜡../..蜡../..蜡../winnt/system32/cmd.exe /c+dir 404 -2002-03-10 05:42:28 192.168.1.

2002-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..蜡../..蜡../..
蜡../winnt/system32/cmd.exe /c+dir 404 -
2002-03-10 05:42:28 192.168.1.2 - 192.168.1.1 80
GET /script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404 -

需要注意类似这样的内容：

/script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404

如果是正常用户，那么他是不会发出这样的请求的，这些是利用IIS的Unicode漏洞扫描的结果。后面的404表示并没有这样的漏洞。如果出现的是200，那么说明存在Unicode漏洞，也说明它已经被别人扫描到了或者已经被人利用了。不管是404或者200，这些内容出现在日志中，都表示有人在扫描（或者利用）服务器的漏洞，这就是入侵前兆。日志也记录下扫描者的来源：192.168.1.2这个IP地址。

再比如这个日志：

2002-03-10 06:17:50 192.168.1.2 - 192.168.1.1 80 HEAD / - 400 -

这是一个使用HEAD请求来扫描WWW服务器软件类型的记录，攻击者能够通过了解WWW使用的软件来选择扫描工具扫描的范围。

IIS通常都能够记录下所有的请求，这里面包含很多正常用户的请求记录，这也让IIS的日志文件变得非常庞大，上十兆或者更大，人工浏览分析就变得不可取。这时可以使用一些日志分析软件，帮助日志分析。或者使用下面这个简单的命令来检查是否有Unicode漏洞的扫描事件存在：

find /I "winnt/system32/cmd.exe" C:logex020310.log

“find”这个命令就是在文件中搜索字符串的。我们可以根据扫描工具或者漏洞情况建立一个敏感字符串列表，比如“HEAD”、“cmd.exe”（Unicode漏洞）、“.ida”“.idq”（IDA/IDQ远程溢出漏洞）、“.printer”（Printer远程溢出漏洞）等等。