实施和做好入侵检测的步骤

　　国内某网络游戏公司服务器被黑客入侵，并有玩家帐号等资料外泄，黑客事件被闹得沸沸扬扬。安全维护、入侵检测及相应的应急处理也将受到重视。目前国内网络存在严重安全问题，而造成这些问题的根本原因多在于企业、单位、组织对安全问题的认识程度和管理员的技术水平。

　　金山毒霸安全小组从目前国内的黑客事件统计并作严密分析后发现，绝大多数的入侵者只是使用一些常见的漏洞扫描工具然后配合入侵工具而进行的，这些工具都可以从网络上任意下载。从入侵技术上看，根本无高深技术可言，这些工具也多是利用已公布的常见漏洞，比如IIS的几大远程缓冲区溢出获取任意程序执行权限，通过UNICODE这样的编码解析漏洞直接从浏览器上执行程序等，而且这些漏洞也都出现很长时间，如果安全维护得力就可以根本不在乎这些“工具黑客”（Script Guy）了。

　　首先，对系统进行安全配置是必须做到的，因为操作系统和应用软件通常并不保证足够的安全性，这也是对网络管理员的基本要求。但是同系统安全配置一样，如何进行入侵检测，以及如何进行“有效的”应急处理，绝大多数网络管理员并没有这样的经验和能力，因此这也将成为摆在管理者面前的一大问题。

　　金山毒霸安全小组从对入侵事件的分析发现，通常的“黑客”入侵手段和过程，一般包括下面这些步骤：

　　1、黑客们首先确定目标并且收集相关信息（包括邮件地址、相关IP地址、漏洞等等），他们将使用各种漏洞扫描器进行操作；

　　2、根据得到的信息可能进行渗透，也就是“入侵”，总的说来入侵者就是要尽可能获得足够的权限，而从多数入侵事件分析看出，“工具黑客”仅仅对常见的而且操作简单的漏洞感兴趣；

　　3、接着就做他们愿意做的事情，获得机密、进行破坏等等；

　　4、“尽可能”地清除自己留下的痕迹，包括修改、删除系统日志等；

　　5、最后按照他们的期望（是否再来），安装后门（木马、添加帐号等等）方便以后进入，有更深度入侵打算的入侵者，还会安装网络嗅探器，以便捕获到更多可用的帐号密码等。

　　从入侵统计上看，现在多数的入侵者并没有专一的入侵目标，在收集信息阶段，基本是按照一个网段一个网段进行的大范围扫描，如果发现有漏洞的主机即开始实施后面的步骤。

　　对于重视度不够的企业和组织，和那些没有足够技术以及经验的系统管理员来说，所有的这些入侵事件都会显得静悄悄。也由于这些入侵事件的不确定性，因此在日常管理和维护中就应该时刻注意入侵问题，及时发现可疑事件，一个疏忽就可能带来不可估量的损失。这里需要提醒广大的管理员的是，不要过于信赖你们的高价防火墙或者入侵检测系统，能够绕过这些机械的程序的方法简直太多了。因此也要求管理员需要保持高度的警觉，入侵者是不会主动告诉你“狼来了”的。除了通常的安全配置之外，有两点是管理员还需要做到的：详细的事件记录和例行的系统维护，这将让我们能够及时地发现入侵并找到足够的线索。

　　如何发现是否被入侵呢？那些昂贵的入侵检测系统设备，让很多公司和组织却步。没有入侵检测系统，虽然不能即时性地发现可能发生的入侵事件，但是也同样可以做好检测工作。金山毒霸系统安全小组根据黑客采用的惯用手段分析，例行的检查可以从这些方面进行，以WINDOWS 2000系统为例，而其他操作系统或者设备的安全检查分析基本类似：

　　1、首先要查看的就是系统正在使用的端口列表。在命令行中输入：netstat –a 看看自己打开了些什么端口，是否有可疑的地方，你最好能够有一个类似fport这样的端口查看工具，能够同时查看使用端口的进程，大多数木马或者后门都会打开一个自己的端口单独使用，因此从端口上查看能够发现一些木马后门的踪迹。但是，这并不能对付所有的木马，而且一些打开系统后门的方法也不能这样来检查。正如那个网络游戏公司一样，服务器也被安装了后门一样。安装后门通常是入侵者的必做工作，同时后门也是入侵者宣告下次还要来的最明显的标志，也给捕获他们提供很多的途径。

　　2、打开任务管理器，查看进程列表，及时发现可疑进程，这是一个经验的较量，不要被一些kernel，internet这样的进程所迷惑，入侵者命名的进程往往很接近系统的进程名。一些入侵者使用可隐藏的进程，也可能通过系统进程来达到目的。

　　3、打开计算机管理，查看用户和用户组管理，是否有可疑用户出现，是否在各个用户组里面存在不该有的帐号，特别是administrators这样的管理员组，按照一些黑客教程的惯用手法，通常把Guest、TsInternetUser 这样的系统提供的帐户，同时也是不被注意的帐户，添加到管理员组里面去。查看共享文件夹，是否出现不该有的共享，正常的配置情况下应该取消所有的共享，但是黑客们为了传送文件等等的方便，会再次打开一些共享，当然，大多数被入侵者打开的共享往往被他们忘记关闭了。顺便再看看会话，说不定入侵者也正好在呢。还需要查看的是，服务，因为把程序启动成为服务能够给入侵者相当多的好处，国内“黑客爱好者”使用最广泛的是小榕的“RemoteNC”这样的后门，它就会在系统中启动一个自己的服务，当然，这个启动的服务名称一定具有相当的欺骗性。

　　4、对照文件列表。你需要一个类似Regsnap这样类似的工具，通常一些后门都是被安装到系统目录下的，而且“黑客”们也喜欢将自己的文件放置在系统目录里面，因为那里实在是很少人去检查，也更方便执行。比较你的备份文件列表和当前文件列表有什么不同，不要以为一些新增加的类似系统文件名的程序。通常这是最直接的检测方式，如果入侵者安装后门等等，肯定需要放置他们的程序，或者需要清除他们的脚印，“工具黑客”往往也会再上传一个工具用来完成这项任务，但是他们往往忘记删除它。

　　5、查看各种系统日志。除了系统的日志以外，还需要查看的是你所开服务的日志，比如FTP、IIS等等的日志。这个工作量比较大，而且需要非常有经验。可以从这些方面来查看，以减少工作量：是否出现日记记录断裂（入侵者通常消除他们的痕迹，而且一般都是删除整个日志或者删除部分日志）；是否有可疑的帐号登录（使用帐号登录是最直接的入侵手段）；是否在不该出现的时间段内发生了不该有的事件，比如晚上12点大家下班后仍有管理员登录。各种服务的日志记录也是发现入侵手段的最有效途径，比如IIS日志能够详细记录下来一个入侵者扫描80端口的全过程，以及他能够获得的有用信息，对于开启WEB服务的服务器来说，多数入侵都是通过这里进入的。这里需要提醒管理员的是，记录日志的时候不光是进行审记，还应该作到一定程度上的跟踪记录。

　　请你相信，不管入侵者怎么掩盖自己的行为，在系统中仍然能够找到各种各样的痕迹，让你能够发现是否被入侵过。比如大多数入侵者可能想尽办法对付系统日志，但是却往往“兴奋”得忘记删除一些他们临时使用的文件。

　　不要以为上面的检测内容非常复杂，如果每天都象上面这样作一次检查的话，也花不了多少时间。金山毒霸系统安全小组建议系统管理员至少每天都进行一定程度的安全检查。惯例性地进行入侵检查，在即使被入侵了的情况，这也能够尽量使损失减到最小，并及时发现问题。