开发学院操作系统windows 2008 Win2000 Server入侵监测揭秘 阅读

Win2000 Server入侵监测揭秘

 2006-04-03 12:03:21 来源:WEB开发网   
核心提示: time /t >>TSLog.lognetstat -n -p tcp | find ":3389">>TSLog.logstart Explorer 我来解释一下这个文件的含义: 第一行是记录用户登录的时间,time /t的意思是直接返回系统

time /t >>TSLog.log
  netstat -n -p tcp | find ":3389">>TSLog.log
  start Explorer

我来解释一下这个文件的含义:

第一行是记录用户登录的时间,time /t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号">>"把这个时间记入TSLog.log作为日志的时间字段;

第二行是记录用户的IP地址,netstat是用来显示当前网络连接状况的命令,-n表示显示IP和端口而不是域名、协议,-ptcp是只显示tcp协议,然后我们用管道符号"|"把这个命令的结果输出给find命令,从输出结果中查找包含":3389"的行(这就是我们要的客户的IP所在的行,如果你更改了终端服务的端口,这个数值也要作相应的更改),最后我们同样把这个结果重定向到日志文件TSLog.log中去,于是在SLog.log文件中,记录格式如下:

22:40
  TCP  192.168.12.28:3389  192.168.10.123:4903   ESTABLISHED
  22:54
  TCP  192.168.12.28:3389   192.168.12.29:1039   ESTABLISHED

也就是说只要这个TSLog.bat文件一运行,所有连在3389端口上的IP都会被记录,那么如何让这个批处理文件自动运行呢?我们知道,终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本(相当于shell环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动Explorer的命令startExplorer,如果不加这一行命令,用户是没有办法进入桌面的!当然,如果你只需要给用户特定的Shell:

上一页  3 4 5 6 7 8 9  下一页

Tags:Win Server 入侵

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接