我們來分析這些日志：

2002-03-10;06:41:19;192.168.21.130;administrator;[36]USER;administrator;331;

2002-03-10;06:41:19;192.168.21.130;-;[36]PASS;-;530

這表示用戶名administrator請求登錄 ， 但是登錄失敗了 。當在日志中出現(xiàn)大量的這些登錄失敗的記錄 ， 說明有人企圖進行FTP的帳號猜解 。這就是從FTP服務(wù)來入侵的入侵前兆 。

分析這些日志的方法也跟前面分析WWW服務(wù)的日志方法類似 。因為FTP并不能進行帳號的枚舉 ， 所以 ， 如果發(fā)現(xiàn)有攻擊者猜測的用戶名正好和你使用的帳號一致 ， 那么就需要修改帳號并加強密碼長度 。

三、系統(tǒng)帳號密碼猜解入侵的前兆檢測

對于Windows;2003服務(wù)器來說 ， 一個很大的威脅也來自系統(tǒng)帳號密碼的猜解 ， 因為如果配置不佳的服務(wù)器允許進行空會話的建立 ， 這樣 ， 攻擊者能夠進行遠程的帳號枚舉等 ， 然后根據(jù)枚舉得到的帳號進行密碼的猜測 。即使服務(wù)器拒絕進行空會話的建立 ， 攻擊者同樣能夠進行系統(tǒng)帳號的猜測 ， 因為基本上很多服務(wù)器的系統(tǒng)管理員都使用administrator、admin、root等這樣的帳號名 。那些安全工具 ， 比如“流光”等 ， 就可以進行這樣的密碼猜測 ， 通過常用密碼或者進行密碼窮舉來破解系統(tǒng)帳號的密碼 。

要檢測通過系統(tǒng)帳號密碼猜解的入侵 ， 需要設(shè)置服務(wù)器安全策略 ， 在審核策略中進行記錄 ， 需要審核記錄的基本事件包括：審核登錄事件、審核帳戶登錄事件、帳戶管理事件 。審核這些事件的“成功、失敗” ， 然后我們可以從事件查看器中的安全日志查看這些審核記錄 。

比如：如果我們在安全日志中發(fā)現(xiàn)了很多失敗審核 ， 就說明有人正在進行系統(tǒng)帳號的猜解 。我們查看其中一條的詳細內(nèi)容 ， 可以看到：

登錄失?。?

原因：用戶名未知或密碼錯誤

用戶名：administrator

域：ALARM

登錄類型：3

登錄過程：NtLmSsp

身份驗證程序包：MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

工作站名：REFDOM

進行密碼猜解的攻擊者打算猜測系統(tǒng)帳號administrator的密碼 ， 攻擊者的來源就是工作站名：REFDOM ， 這里記錄是攻擊者的計算機名而不是他的IP地址 。

當我們發(fā)現(xiàn)有人打算進行密碼猜解的時候 ， 就需要對相應(yīng)的配置和策略進行修改 。比如：對IP地址進行限制、修改被猜解密碼的帳號的帳號名、加強帳號密碼的長度等等來應(yīng)對這樣的入侵 。

四、終端服務(wù)入侵的前兆檢測

Windows2003;提供終端控制服務(wù)(Telminal;Service) ， 它是一個基于遠程桌面協(xié)議(RDP)的工具 ， 方便管理員進行遠程控制 ， 是一個非常好的遠程控制工具 。終端服務(wù)使用的界面化控制讓管理員使用起來非常輕松而且方便 ， 速度也非?？?， 這一樣也讓攻擊者一樣方便 。而且以前終端服務(wù)存在輸入法漏洞 ， 可以繞過安全檢查獲得系統(tǒng)權(quán)限 。對于打開終端服務(wù)的服務(wù)器來說 ， 很多攻擊者喜歡遠程連接 ， 看看服務(wù)器的樣子(即使他們根本沒有帳號) 。

對終端服務(wù)進行的入侵一般在系統(tǒng)帳號的猜解之后 ， 攻擊者利用猜解得到的帳號進行遠程終端連接和登錄 。

在管理工具中打開遠程控制服務(wù)配置 ， 點擊"連接" ， 右擊你想配置的RDP服務(wù)(比如;RDP-TCP(Microsoft;RDP;5.0) ， 選中書簽"權(quán)限" ， 點擊"高級" ， 加入一個Everyone組 ， 代表所有的用戶 ， 然后審核他的"連接"、"斷開"、"注銷"的成功和"登錄"的成功和失敗 ， 這個審核是記錄在安全日志中的 ， 可以從"管理工具"->"日志查看器"中查看 。但是這個日志就象前面的系統(tǒng)密碼猜解那樣 ， 記錄的是客戶端機器名而不是客戶端的IP地址 。我們可以做一個簡單的批處理bat文件(文件名為TerminalLog.bat) ， 用它來記錄客戶端的IP ， 文件內(nèi)容是：

推薦閱讀

• 

  千分號怎么打
• 

  電子信息系統(tǒng)機房設(shè)計規(guī)范
• 

  形容荷蘭優(yōu)美的詞語
• 

  預(yù)定和預(yù)訂有什么區(qū)別
• 

  個人身份證貸款如何申請？ 個人身份證貸款流程詳情介紹！
• 

  聊城私立小學(xué)有哪些，聊城最好的私立小學(xué)排名
• 

  長沙緊缺急需人才集聚工程獎勵補貼申請指南
• 

  被子靜電特別大怎么辦 被子上有靜電怎么解決
• 

  重慶市花是什么花 寓意謙遜與美德的山茶花，送給母親的花是什么花？
• 

  明日方舟獅蝎怎么樣？獅蝎攻略分享
• 

  墻紙怎么撕下來才干凈？撕墻紙小妙招
• 

  海棠花哪個品種最為名貴
• 

  閑魚怎么看芝麻信用分
• 

  貓為什么流哈喇子 貓為什么會突然流口水是怎么回事
• 

  長安幻世繪四星妖魂拓片怎么弄
• 

  煙灰水澆什么花好

• 圖 使用Windows Server 2003搭建安全服務(wù)器
• 強化Win2003文件服務(wù)器
• 群集的形成和操作
• 下 Win2K安裝與服務(wù)器配置
• 使用Win Server 2003搭建安全文件服務(wù)器
• 更貼心更實用!為Windows2003移植系統(tǒng)還原
• 用Win 2003配置郵件服務(wù)器
• 用Windows Server 2003搭建安全文件服務(wù)器
• 上 windows 2K安裝與服務(wù)器配置
• 如何配置windows 2003的DNS服務(wù)器