>Terminal.log; netstat;-n;-p;tcp;|;find;":3389">>Terminal.log; start;Explorer 端服務(wù)使用的端口是TCP;3389 , 文件第一行是記錄用戶登錄的時間 , 并把這個時間記入文。Windows2003服務(wù)器入侵前兆檢測技巧( 三 )。" />

日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Windows2003服務(wù)器入侵前兆檢測技巧( 三 )

云知道



time;/t;>>Terminal.log;

netstat;-n;-p;tcp;|;find;":3389">>Terminal.log;

start;Explorer

端服務(wù)使用的端口是TCP;3389 , 文件第一行是記錄用戶登錄的時間 , 并把這個時間記入文件Terminal.log中作為日志的時間字段;第二行是記錄用戶的IP地址 , 使用netstat來顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令 , 并把含有3389端口的記錄到日志文件中去 。這樣就能夠記錄下對方建立3389連接的IP地址了 。

要設(shè)置這個程序運(yùn)行 , 可以在終端服務(wù)配置中 , 登錄腳本設(shè)置指定TerminalLOG.bat作為用戶登錄時需要打開的腳本 , 這樣每個用戶登錄后都必須執(zhí)行這個腳本 , 因為默認(rèn)的腳本是Explorer(資源管理器) , 所以在Terminal.bat的最后一行加上了啟動Explorer的命令start;Explorer , 如果不加這一行命令 , 用戶是沒有辦法進(jìn)入桌面的 。當(dāng)然 , 可以把這個腳本寫得更加強(qiáng)大 , 但是請把日志記錄文件放置到安全的目錄中去 。

通過Terminal.log文件記錄的內(nèi)容 , 配合安全日志 , 我們就能夠發(fā)現(xiàn)通過終端服務(wù)的入侵事件或者前兆了 。

對于Windows2003服務(wù)器來說 , 上面四種入侵是最常見的 , 也占入侵Windows2003事件的絕大多數(shù) 。從上面的分析 , 我們能夠及時地發(fā)現(xiàn)這些入侵的前兆 , 根據(jù)這些前兆發(fā)現(xiàn)攻擊者的攻擊出發(fā)點(diǎn) , 然后采取相應(yīng)的安全措施 , 以杜絕攻擊者入侵 。

我們也可以從上面分析認(rèn)識到 , 服務(wù)器的安全配置中各種日志記錄和事件審核的重要性 。這些日志文件在被入侵后是攻擊者的重要目標(biāo) , 他們會刪除和修改記錄 , 以便抹掉他們的入侵足跡 。因此 , 對于各種日志文件 , 我們更應(yīng)該好好隱藏并設(shè)置權(quán)限等保護(hù)起來 。同時 , 僅僅記錄日志而不經(jīng)常性地查看和分析 , 那么所有的工作就等于白做了 。

在安全維護(hù)中 , 系統(tǒng)管理員應(yīng)該保持警惕 , 并熟悉安全使用的入侵手段 , 做好入侵前兆的檢測和分析 , 這樣才能未雨綢繆 , 阻止入侵事件的發(fā)生 。

推薦閱讀