搞好服务器安全检测杜绝被黑客入侵.docVIP

相信大家都受过病毒煎熬，下面是我从自学编程网转载过来，看了，觉得不错，所以特来献给站长朋友。入侵检测既是一项非常重要的服务器日常管理工作，也是管理人员必须掌握的技能。　　下面笔者和大家一道，多点出击、明察秋毫进行服务器的入侵检测。 　　1、查看服务器状态　　部署“性能监控”工具，实施对服务器的实时监控这应该成为服务器的标准配置。笔者向大家推荐NetFox这款服务器监控工具，通过其可以设置“Web/Ping”、“FTP/Mail”、“邮件检测”、“空间检测”等监控项。当服务器性能发生异常时会发出报警声，以提示管理员进行处理。另外，当服务器不在本地，管理员可以设置手机短信报告，以利用管理员远程了解服务器的运行状态，当服务器异常能够尽快采取相应的措施。 (图1) 　　如果大家的服务器没有部署这样的工具，也可以通过“进程管理器”进行查看。在其“性能”标签下可以直观的看到服务器CPU、物理内存、虚拟内存的使用状况，以确定是否有CPU和内存占用过高等异常情况。在其“联网”标签下可以实时查看当前服务器各网卡的网络使用状况，以确定是否有异常流量。 　　2、检查当前进程情况　　服务器的入侵检测进程是非常重要的一项，通过其可以查看是否可疑的程序在服务器中运行。虽然Windows Server 2003集成了进程查看器，但其功能比较简陋而且对一些通过Hook或者Rootkit方式插入正常系统进程或者隐藏的进程显得无能为力。笔者推荐类似IceSword(冰刃)这样的工具，通其可以查看进程的线程及其该进程调用的模块信息，从而帮助管理员找到隐藏的进程。 (图2) 　　在一般情况下，管理员完全可以通过“任务管理器”查看服务器进程情况，在其“进程”选项卡下服务器当前显式进程一目了然。甄别是否是危险进程，管理员要对系统进程或者常用程序的进程比较了解。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定。比如大家可以在“进程知识库”()进行查看比对。该网站比较详细地列举了“系统进程”、“应用程序进程”、“存在安全风险的进程”。当然，病毒、木马的进程是可以由攻击者更改的，但它们为了达到目的往往会在进程名上做文章，一般会取一个与系统进程类似的名称。通常迷惑手段是变字母o为数字0，变字母l为数字1，如svch0st.exe、exp1orer.exe等，此时要仔细辨别。 (图3) 　　3、检查系统帐号　　攻击者在入侵服务器后，为了达到后期的一直控制往往要创建系统帐户，这帐户往往是管理员组的。比如敲入命令“net user lw test168 /add net localgroup administrators lw /add”(不含引号)就创建了一个用户名为lw，密码为test168的管理员用户。对于这样的用户，管理员可以在命令提示符(cmd.exe)下敲入“net user”或者打开“计算机管理”，展开“本地用户和组”查看administrators组是否有陌生帐户添加以确定入侵。　　当然，一个狡猾的入侵者不会这么做，他们会通过各种方法进行帐户的隐藏。其常用的伎俩不外乎四种。　　①激活服务器的Guest用户，并把其加入管理员组。对此，管理员一定要查看在administrators组中是否有个guest用户。如果存在，几乎可以肯定服务器被入侵了。　　②创建隐藏帐户。入侵者在帐户的后面加“$”，比如把上面的命令改为“net user lw$ test168 /add net localgroup administrators lw$ /add”，就创建了一个lw$用户，该用户在命令提示符(cmd.exe)下输入“net user”命令是看不到的，但在“本地用户和组”中可以看到。　　③克隆帐户。这应该是入侵者最常使用的，他们往往会克隆administrator帐户，这个帐户无论在命令提示符、“本地用户和组”设置注册表的“sam”项下也无法看到，隐蔽性极高。对此，管理员必须得通过工具才能查看系统中是否有克隆帐户。笔者推荐mt.exe，mt被很多杀毒软件定义为木马，也是攻击者进行帐户克隆的首选工具，但其也可以让系统中克隆帐户现行。　　具体操作是：在命令提示符下进入mt目录输入命令：mt -chkuser。输入命令后，会在屏幕中输出结果，主要查看ExpectedSID和CheckedSID，如果这两个值不一样则说明账号被克隆了。在本例中可以看到账号simeon$的CheckedSID跟Administrator的CheckedSID值一样，说明simeon$克隆了Administrator账号。 (图4)　　④Rookit帐户。通过Rootkit创建的帐户具有克隆帐户隐藏的所有特点，也具有非常高的隐蔽