在我們追查系統是否被******的技術中,首先一個就是要學會通過系統的各種日誌來進行查,大家經常管理服務器的,我想大家也都知道系統日誌是通過“事件查看器”來進行查看的,時間查看器裏面包含應用程序日誌,安全日誌,系統日誌等,顧名思意,應用程序日誌就是系統裏面所有除系統程序之外的其它程序的日誌內容,系統日誌也就是系統本身的日誌,包括什麼IIS,SVCHOST.EXE,smss.exe等等系統自帶程序的日誌內容,而安全日誌主要是各類通過權限訪問系統的登錄/註銷的日誌內容,這些日誌中,只要有異常的情況,日誌就會以“[圖片]”這樣的圖標來顯示,所以大家在查看日誌的時候,都要特別注意這些錯誤日誌的內容,通常日誌的內容都是英文的,所以很多人看起來並不是很懂,但是微軟也爲這些問題做了進一步的解釋
比如這條日誌
有關更多信息,請參閱在 http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心。微軟還提供了一個鏈接地址,讓你能更多的瞭解到這個問題的原因,這個裏面詳細記錄了這個問題的各方面信息,包括髮生日期和時間,來源,類別,用戶,以及計算機,還有描述的內容
,這個問題的來源是ASP.NET這個程序,類別是文件監控,這樣一個日誌,我們大概可以瞭解到,這是一個由於ASP.NET的文件監控而導致目錄D:\web\www.juno-marry.com的文件不能被遠程訪問,所以我們處理的時候就要去查看一下ASP.NET的支持程序是不是出問題了,當然,如果還有疑問的話,第一,可以去上面提供的鏈接地址進一步查看,第二,可以根據事件的ID號去微軟幫助裏查詢,大家看看這個裏面的事件ID是有一個ID號的,大家如果仔細去看每條日誌的情況就應該知道,每種不同的問題都會有不同的ID號,根據這些ID號是都能夠在幫助裏查到詳細的內容,然後大家在查看日誌的時候還要注意一個圖標
日誌的圖標主要有三種,一種是“信息”,第二種是“警告”,第三種是“錯誤” ,警告這一塊也要特別注意,在程序即將崩潰或者要出現問題的時候,系統就會做出警告的信息記錄,這是警告的內容
大家看
系統先是有警告的信息出來,接着就出現錯誤的日誌信息,所以我們不得不佩服微軟的產品功能開發的是如此的強大,很多人覺得微軟的產品經常出這樣那樣的漏洞,都極力反對微軟的產品,但實際上爲軟件的產品一些強大的功能比起這些漏洞來說的話,簡直是不值一提,而且微軟的操作系統裏面我可以說有90%以上的功能大家都沒有使用過,一旦大家都會用的話,那就成爲真正的微軟產品專家,好了,不扯遠了,我們繼續了
現在再來跟大家講一下系統日誌裏面都有哪些內容,系統日誌裏面大部分都是系統服務的內容的日誌,WINDOWS 2003/2000和以前的NT4.0架構不一樣,內核方面做了很大的改進,特別是在網絡服務這一塊的技術是完全不同的,而WINDOWS 2003在WINDOWS 2000的基礎之上又增強了很多網絡服務方面的功能,微軟的系統方面的程序大部分都通過系統服務的方式來進行啓用和停止等管理,包括很多內核級別的系統程序也都是在服務裏面,所以爲什麼一些殺毒軟件要把自身做成服務的形式,這就是爲了讓自己在啓動的時候優於其它大部分啓動程序,這樣纔能有效的去查殺病毒
,不然如果啓動的時候事先都被病毒先啓動了,那肯定是病毒來殺殺毒軟件,而不是相反的操作了,大家看看這個,來源上指的是W3SVC
大家看看系統服務名就是知道W3SVC就是WEB服務,所以對於系統服務日誌,大家要着重看,不然搞不好裏面哪個崩潰了,你都會連繫統都進不去,我們現在再來看最重要的一塊,安全性日誌,這一塊是會記錄***是否***的最爲關鍵的日誌內容,所以大家查看的時候,一定要仔細,認真分析,大家看,這些裏面都是一些賬號登錄,註銷的信息
這個裏面的分類上,有的是“帳戶登錄”,有的是“登錄/註銷”信息,相信大家都很想知道,帳戶登錄指的是用戶登錄的信息,而“登錄 /註銷”指的是用戶已經登錄進來了,然後註銷或者是重新連接等信息,然後在很多“登錄/註銷”信息當中都有登錄類型的信息,這一塊你能知道用戶是通過什麼方式來登錄的
登錄類型2:交互式登錄(Interactive) 這應該是你最先想到的登錄方式吧,所謂交互式登錄就是指用戶在計算機的控制檯上進行的登錄,也就是在本地鍵盤上進行的登錄,但不要忘記通過KVM登錄仍然屬於交互式登錄,雖然它是基於網絡的。
登錄類型3:網絡(Network) 當你從網絡的上訪問一臺計算機時在大多數情況下Windows記爲類型3,最常見的情況就是連接到共享文件夾或者共享打印機時。另外大多數情況下通過網絡登錄IIS時也被記爲這種類型,但基本驗證方式的IIS登錄是個例外,它將被記爲類型8,下面將講述。
登錄類型4:批處理(Batch) 當Windows運行一個計劃任務時,“計劃任務服務”將爲這個任務首先創建一個新的登錄會話以便它能在此計劃任務所配置的用戶賬戶下運行,當這種登錄出現時,Windows在日誌中記爲類型4,對於其它類型的工作任務系統,依賴於它的設計,也可以在開始工作時產生類型4的登錄事件,類型4登錄通常表明某計劃任務啓動,但也可能是一個惡意用戶通過計劃任務來猜測用戶密碼,這種嘗試將產生一個類型4的登錄失敗事件,但是這種失敗登錄也可能是由於計劃任務的用戶密碼沒能同步更改造成的,比如用戶密碼更改了,而忘記了在計劃任務中進行更改。
登錄類型5:服務(Service) 與計劃任務類似,每種服務都被配置在某個特定的用戶賬戶下運行,當一個服務開始時,Windows首先爲這個特定的用戶創建一個登錄會話,這將被記爲類型5,失敗的類型5通常表明用戶的密碼已變而這裏沒得到更新,當然這也可能是由惡意用戶的密碼猜測引起的,但是這種可能性比較小,因爲創建一個新的服務或編輯一個已存在的服務默認情況下都要求,是管理員或serversoperators身份,而這種身份的惡意用戶,已經有足夠的能力來幹他的壞事了,已經用不着費力來猜測服務密碼了。 登錄類型7:解鎖(Unlock) 你可能希望當一個用戶離開他的計算機時相應的工作站自動開始一個密碼保護的屏保,當一個用戶回來解鎖時,Windows就把這種解鎖操作認爲是一個類型7的登錄,失敗的類型7登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。
登錄類型8:網絡明文(NetworkCleartext) 這種登錄表明這是一個像類型3一樣的網絡登錄,但是這種登錄的密碼在網絡上是通過明文傳輸的,WindowsServer服務是不允許通過明文驗證連接到共享文件夾或打印機的,據我所知只有當從一個使用Advapi的ASP腳本登錄或者一個用戶使用基本驗證方式登錄IIS纔會是這種登錄類型。“登錄過程”欄都將列出Advapi。
登錄類型9:新憑證(NewCredentials) 當你使用帶/Netonly參數的RUNAS命令運行一個程序時,RUNAS以本地當前登錄用戶運行它,但如果這個程序需要連接到網絡上的其它計算機時,這時就將以RUNAS命令中指定的用戶進行連接,同時Windows將把這種登錄記爲類型9,如果RUNAS命令沒帶/Netonly參數,那麼這個程序就將以指定的用戶運行,但日誌中的登錄類型是2。
登錄類型10:遠程交互(RemoteInteractive) 當你通過終端服務、遠程桌面或遠程協助訪問計算機時,Windows將記爲類型10,以便與真正的控制檯登錄相區別,注意XP之前的版本不支持這種登錄類型,比如Windows2000仍然會把終端服務登錄記爲類型2。
登錄類型11:緩存交互(CachedInteractive) Windows支持一種稱爲緩存登錄的功能,這種功能對移動用戶尤其有利,比如你在自己網絡之外以域用戶登錄而無法登錄域控制器時就將使用這種功能,默認情況下,Windows緩存了最近10次交互式域登錄的憑證HASH,如果以後當你以一個域用戶登錄而又沒有域控制器可用時,Windows將使用這些HASH來驗證你的身份。
這些就是登錄類型具體的登錄方式的描述
使用明確憑據的登錄嘗試: 登錄的用戶: 用戶名: NETWORK SERVICE 域: NT AUTHORITY 登錄 ID: (0x0,0x3E4) 登錄 GUID: - 憑據被使用的用戶: 目標用戶名: showfresh 目標域: EDONG-46851F27A 目標登錄 GUID: - 目標服務器名稱: localhost 目標服務器信息: localhost 調用方進程 ID: 1820 源網絡地址: - 源端口: -
大家看看這條信息
這裏面有個network service的用戶使用showfresh這個賬號來登錄,然後目標服務器的名稱是localhost,這指的意思是有一個本地的網絡用戶通過IIS控制賬號SHOWFRESH來登錄,也就是說有個用戶通過3389登錄進入服務器,然後打開IE,訪問一個網站,這個網站的訪問控制賬號是showfresh
會話被重新連接到 winstation:
用戶名: Administrator
域: EDONG-46851F27A
登錄 ID: (0x0,0x2314CA)
會話名稱: RDP-Tcp#21
客戶端名: 58D57A921E7941C
客戶端地址: 58.247.37.162
大家再看看這個,會話被重新連接到winstation,這指的是58.247.37.162這個IP的用戶重新連接到服務器的遠程桌面上了,也就是說這個用戶之前登錄過,然後退出是直接關閉3389窗口,而不是註銷退出,然後又通過相同的賬號又登錄進來了,所以大家要能夠舉一反三,重一個日誌裏面能看出很多問題,這樣你纔是一個合格的IDC技術人員,所以一旦技術到達一定級別,很多問題都可以解決,不用動不動就重裝,也會讓客戶更滿意咱們IDC的技術服務,響應速度快,處理速度快,嘴巴又甜,你說哪個客戶會不喜歡你們?!
日誌這一塊我們還要注意要有一個良好的管理規範,最好是每臺服務器定期技術都能登錄進來多看看日誌,特別是對於一些警告和錯誤的信息,安全性日誌這一塊要着重看好,我們日誌這一塊就先講這麼多,除了日誌這一塊之外,很重要的一個方面就是系統賬號,這一塊非常的重要,90%以上的***登錄進入服務器都會用賬號的方式來登錄,所以經常是管理員發現了賬號,刪除了,但沒過幾天***又建立了新賬號,來來回回,搞來搞去人都被搞煩了,客戶也不滿意了,我們打開“計算機管理”,打開裏面的“本地用戶和組”就能看到用戶組和用戶名,用戶組是有多種不同等級的權限,而每個用戶是隸屬一個或多個用戶組的
*Administrators
*Backup Operators
*Distributed COM Users
*Guests
*HelpServicesGroup
*IIS_WPG
*Network Configuration Operators
*Performance Log Users
*Performance Monitor Users
*Power Users
*Print Operators
*Remote Desktop Users
*Replicator
*TelnetClients
*Users
大家看看,這些就是用戶組,不用的用戶組都有不同的用處,比如Remote Desktop Users就是遠程桌面登錄的用戶組,*Print Operators就是打印的操作員用戶組,用得比較多的用戶組有guests,users,administrators,系統自帶的guest賬號就是guests組的,administrator就是administrators組的,當然你也可以根據你的需要自己建立一些組別出來,然後把不同用戶放置在不同的組裏面,我們再來看看賬號這一塊
Administrator ASPNET Guest
IUSR_EDONG-46851F27A IUSR_EDONG-C34CEB4B1 IWAM_EDONG-46851F27A
IWAM_EDONG-C34CEB4B1 SQLDebugger
SUPPORT_388945a0
SQLDebugger
SUPPORT_388945a0
Administrator Guest IUSR_EDONG-46851F27A IWAM_EDONG-46851F27A SUPPORT_388945a0
這幾個賬號是系統裝好之後就有的,ASPNET是系統安裝了ASP.NET組件之後被建立的,SQLDEBUGGER是安裝了MSSQL之後被建立的SUPPORT_388945a0禁用,SQLDEBUGGER只要是GUESTS組就可以,我們自己是用我們的軟件來管理這些賬號的,隨時監控這些賬號,你直接修改這些賬號和密碼都是修改不了,只有通過我們的軟件才能建立和修改賬號,所以對***來說是很頭疼的,SQLDEBUGGER禁用了會讓SQL出問題的,我們以前也刪除了,但是過了幾天,SQL就啓動不了,SQL 查詢分析器包括 T-SQL 調試程序。 通過使用 T - SQL 調試器, 您可以控制並監視運行如何存儲過程。 T-SQL 調試程序使用,SQLDebugger Windows 用戶帳戶來連接到數據庫服務器。如果大家使用不到T-SQL調試程序,那問題倒不是很大
虛擬主機 基本沒人用這個. 對於guest賬號,大家要記住,正常情況下是禁用的,這個賬號經常會被***利用,還有IUSR_EDONG-46851F27A 和 IWAM_EDONG-46851F27A
IWAM_EDONG-46851F27A是啓動IIS進程的賬號
IUSR_EDONG-46851F27A是網站訪問控制的賬號
所以你發現你們服務器裏面網站打開的時候彈出一個密碼框,讓你輸入帳戶和密碼,那就說明很有可能是你的IUSR_EDONG-46851F27A賬號出問題了,要麼被刪除了,要麼被改了密碼,對於administrator這個賬號,建議大家把賬號名稱改掉,這樣可以避免***利用這個賬號來實施***,除了這些系統正常的賬號之外,還有一種賬號大家要小心,這就是克隆賬號,克隆賬號可以把administrator賬號克隆成一個新建的賬號,或者是克隆成guests賬號,然後guest賬號仍然設爲禁用,但是他遠程可以用guest賬號來登錄,而且登錄進來權限是administrator,而且還可以建立一個管理員賬號A,然後把A賬號克隆到B賬號上,然後再把A賬號刪除,這樣你即使看到了非法的B賬號,但是你怎麼刪除都刪除不了,當然,再可怕的東西我們都有辦法來解決它
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
大家可以進入註冊表的這個項裏面來看看,這個裏面會有詳細的賬號信息,克隆賬號也會在這個裏面,當然克隆賬號是可以在賬號裏面看不到的,像幽靈一樣,把SAM的權限裏面的EVERYONE添加上就可以看到了,我們現在也把查找並刪除克隆賬號的功能增加到紅盟防禦軟件上了,用我們軟件直接就可以找到克隆賬號並刪除,克隆賬號是***利用得最多的技術手段。今天由於時間的關係,我們就先講到這裏,其它的內容我們在下節課進行講解 。