搞好服务器的入侵检测

　　相信大家都受过病毒煎熬，下面是我从自学编程网转载过来，看了，觉得不错，所以特来献给站长朋友,
　　入侵检测既是一项非常重要的服务器日常管理工作，也是管理人员必须掌握的技能。下面笔者和大家一道，多点出击、明察秋毫进行服务器的入侵检测。
　　1.查看服务器状态
　　部署“性能监控”工具，实施对服务器的实时监控这应该成为服务器的标准配置。笔者向大家推荐NetFox这款服务器监控工具，通过其可以设置“Web/Ping”、“FTP/Mail”、“邮件检测”、“空间检测”等监控项。当服务器性能发生异常时会发出报警声，以提示管理员进行处理。另外，当服务器不在本地，管理员可以设置手机短信报告，以利用管理员远程了解服务器的运行状态，当服务器异常能够尽快采取相应的措施。(图1)
　　


　　图6
　　当然，Windows Server 2003中也有相关连接端口查看的命令。在命令提示符下输入“netstat -ano”，可以查看到当前服务器的网络连接状况。如果服务器的连接比较多想看看正在进行的连接，可以进行筛选，输入命令“netstat -ano |find "ESTABLISHED”即可。可以看到图7中有一条3389的连接，可以在命令行下输入命令“query user”查看是谁连接到了服务器，从而通过命令“logoff 1”(1是远程连接用户ID)踢出入侵者。当然，也可以在“任务管理器”的“用户”选项卡下查看。(图7)
　　


　　图10
　　正因为，日志会记录入侵者的踪迹。所有狡猾的入侵者往往在入侵后会对日志进行操作，擦除入侵痕迹。常见的手段是：

　　(1).删掉日志。这是最低级的做法，虽然消除了日志，但也暴露了入侵者自己。如果是这样，管理员看到日志被删除可以马上断定服务器被入侵。
　　(2).部分删除。一些比较高明的入侵者在入侵结束后会删除日志中与自己相关的部分。如果这样，管理员可以实施对日志的监控保护，一旦发现日志有删除的痕迹就可以进行入侵检测。
　　(3).部分修改。这是一些高明的入侵者采用的方法，他们在入侵结束后会修改与自己相关的日志，以欺骗管理员或者嫁祸于人，金蝉脱壳。对才，管理员可以采取同上的方法，不过还要进行一定的分析。
　　最后，笔者以一个安全爱好者的角度建议管理员一定要备份好服务器的日志。
　　7.检查系统文件
　　攻击者在入侵中或者入侵成功后，会在系统文件上做文章隐藏保护入侵工具(一般是木马的客户端)。其主要手段是替换同名的系统文件(exe和dll文件)，或者实施系统文件与木马的捆绑。
　　服务器入侵检测中对于系统文件的检测，笔者建议在服务器系统安装完毕之后用“dir *.exe /s >1.txt”将系统盘所有的exe文件列表保存下来。这样，在检测时，先该命令生成一份当前服务器系统盘文件列表，然后用FC命令比较两个文件从而发现可疑文件，对于dll文件的检测方法类似。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。(图11)
　　


　　图14
　　总结：以上我们从10个方面进行了服务器的入侵检测，其实在实战中没有必要一一进行，笔者只是尽量囊括服务器入侵检测的方方面面。毫无例外，服务器的安全也遵循木桶原理，它的安全性往往取决于自身最脆弱的地方，因此这些地方应该成为入侵检测的重点。 www.ilovexs.*** 我爱3gp电影网 别忘记了__嘻嘻__