十个细节做好服务器的入侵检测

       10.检查启动项

　　攻击者在控制服务器后，往往会上传一个木马服务端，这个服务端除了注册为系统服务器外，有的会添加到系统启动项里随系统启动。因此，对服务器的入侵检测启动项也是一个重要的地方。

　　启动项的检查可用的方法主要有以下三个：

　　(1).Msconfig工具。运行该工具，在“启动”选项卡下可以看到随系统启动的程序，只需取消对可疑程序启动的勾选即可。

　　(2).regedit(注册表)工具。运行该工具，定位到如下注册表项下进行检查：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　以上的键值会出现在msconfig的“启动”项中。

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　以上的键值比较隐蔽

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　"Shell"="EXPLORER.EXE,*.exe"

　　*为某病毒或者木马的可执行文件，这种方法非常隐蔽，被当前的许多病毒采用。

　　(3).专门工具。这样的工具比较多，比如RegRunFirst就不错。运行后点选左边相关的注册表启动项项，就可以看到该项下的启动程序。

　　另外，"C:\Documents and Settings\Administrator\「开始」菜单\程序\启动"也是个比较危险的地方。比如攻击者获得了一Web服务器的webshell，没有命令执行权限但具有对该目录的写权限，就可以向该目录上传木马程序等服务器重启后木马也就运行了。(图14)

图14

　　总结：以上我们从10个方面进行了服务器的入侵检测，其实在实战中没有必要一一进行，笔者只是尽量囊括服务器入侵检测的方方面面。毫无例外，服务器的安全也遵循木桶原理，它的安全性往往取决于自身最脆弱的地方，因此这些地方应该成为入侵检测的重点。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 

【责编:Zenghui】