很多人對(duì)入侵Win2000系統(tǒng)很喜歡的吧，又有3389這樣的界面型遠(yuǎn)程控制，還有這么多漏洞可以利用，而且關(guān)于入侵Win2000的文章又到處都是，方便啊。不過，你知道，你到底留下了哪些足跡在系統(tǒng)中么？最近作了個(gè)入侵分析，發(fā)現(xiàn)了不少東西，當(dāng)然，估計(jì)到入侵時(shí)間然后在查找文件就列出來了。 

    我們?cè)谶@里不分析來自FTP、HTTP的日志記錄，因?yàn)檫@樣來的入侵行為分析和防范比較容易，而通過帳號(hào)密碼猜測(cè)進(jìn)來的防范起來是比較麻煩的（安全配置相當(dāng)OK的另說）。 

     1、系統(tǒng)的日志記錄。 好的管理員應(yīng)該盡可能地記錄可以記錄的東西，在本地安全策略中，對(duì)審核策略進(jìn)行足夠多的記錄，你能發(fā)現(xiàn)，如果把所有的審核都選定的話（只要你不嫌多），一個(gè)帳號(hào)進(jìn)行的操作訪問的整個(gè)過程都能夠完整記錄下來了，一點(diǎn)不漏。 事件查看器里記錄的內(nèi)容是最多的了，從安全日志里面可以查看所有審核的事件。  
我們看看一個(gè)帳號(hào)的登錄/注銷事件的記錄： 會(huì)話從 winstation 中斷連接: 用戶名: guest 域: Refdom 登錄 ID: (0x0,0x28445D9) 會(huì)話名稱: Unknown 客戶端名: GUDULOVER 客戶端地址: 202.103.117.94  
這是一個(gè)3389登錄的事件，系統(tǒng)記錄下了IP地址，機(jī)器名稱以及使用的用戶名。還是很齊全的吧。 
這是一個(gè)詳細(xì)追蹤的記錄： 已經(jīng)創(chuàng)建新的過程: 新的過程 ID: 4269918848 映象文件名: \WINNT\system32\CMD.EXE 創(chuàng)建者過程 ID: 2168673888 用戶名: Refdom$Content$nbsp;域: Refdom 登錄 ID: (0x0,0x3E7)  
這是使用localsystem來運(yùn)行了cmd.exe的記錄，呵呵，用本地系統(tǒng)帳號(hào)運(yùn)行cmd.exe不是用net user還是什么（當(dāng)然還能做很多事情）。 小心自己的日志記錄太多，日志空間使用滿，這樣WIN就不再記錄新的事件了，請(qǐng)?jiān)谌罩緦傩灾羞x擇按需要改寫日志，這樣可以記錄新的事件，不過可能把需要分析的事件給改寫了。 可惜的是，這里的記錄實(shí)在是太顯眼了，多半存活不了。 

     2、足夠多的痕跡留在“Documents and Settings”目錄里面 這個(gè)目錄是所有帳號(hào)的足跡存放地，當(dāng)然，從3389或者本機(jī)進(jìn)入使用圖形界面就會(huì)留下帳號(hào)目錄來。我們來看看一個(gè)帳號(hào)的“Documents and Settings”目錄里面有什么東西吧，首先查看所有文件和文件夾，不要隱藏任何東西。 
“「開始」菜單”：當(dāng)然是存放帳號(hào)自己的“開始”中的東西，這個(gè)里面的“啟動(dòng)”是個(gè)比較好東西哦。 “Application Data”：一些應(yīng)用程序留下的數(shù)據(jù)啊、備份啊什么的東西，分析用處不怎么大。 
“Cookies”：如果入侵者通過3389進(jìn)來，還去瀏覽了網(wǎng)頁，那么這里就存放著足夠多的Cookie，讓你能夠知道他到底去了哪些地方。 
“Local Settings”：這里也是一些臨時(shí)數(shù)據(jù)的存放地，還有就是IE的脫機(jī)東東。說不定能發(fā)現(xiàn)很多好網(wǎng)站哦。 “Recent”：這個(gè)文件夾是隱藏的，不過里面存放的東西實(shí)在太多了，帳號(hào)訪問的目錄、文件一個(gè)一個(gè)都記錄在案。使用了哪些東西，看了哪些文件，都能知道得清清楚楚。 
“Templates”：存放臨時(shí)文件的地方。 

     3、從黑客工具看被人入侵了，那他一定會(huì)想辦法獲得administrator權(quán)限，得到了這個(gè)權(quán)限他就能為所欲為了，按照各種介紹的入侵教材，當(dāng)然是放置其他掃描器做肉雞、安裝后門、刪除日志……呵呵，這些掃描器都有足夠的日志可以提供分析，還能幫自己白白收集一些肉雞。而且從這些工具的日志（配置文件）里面也可以看出入侵者的意圖以及水平等等。 也好，那流光來說吧，每次掃描的結(jié)果都寫下來了，大家都可以看，不看白不看。 被安裝后門、代理跳板（不是多級(jí)）是最好的了，誰能遠(yuǎn)程控制你做什么呢？我們當(dāng)然可以從后門程序抓住入侵者的來歷，從哪里傳過來的連接，用嗅嘆器就是了，當(dāng)然，你甚至可以用一個(gè)非常有意思的文件名來偽裝自己的木馬，讓他當(dāng)回去使用，想玩大家一起玩啊。當(dāng)然，從另外的3389肉雞這樣的控制來的入侵者還是只找到的他的肉雞而已。（冒險(xiǎn)，把他的肉雞也搞定吧） 

最新評(píng)論