Win 2003安全检测 让入侵者无处遁形

  Windows Server 2003是服务器版的系统，个人用户时有使用，但其多被用来做服务器的系统平台。攻击者更愿意获取其控制权，因此它面临的安全威胁也最大。往往的情况是，我们的系统遭到攻击甚至被入侵而我们不为所知。可见，除了安全部署，做好系统的入侵检测也是非常重要的。那应该从哪些方面进行检测，如何检测呢?

　　一、常规检查

　　1.查看系统中的“陌生人”

　　攻击者在入侵系统后，为了长期控制系统往往要创建系统帐户，这帐户往往是管理员组的。比如敲入命令“net user lw "test168" /add & net localgroup administrators lw /add”(不含引号)就创建了一个用户名为lw，密码为test168的管理员用户。这就是系统中的“陌生人”，我们必须要清除出去。

　　对于这样的用户，我们可以在命令提示符(cmd.exe)下敲入“net user”或者打开“计算机管理”，展开“本地用户和组”查看administrators组是否有陌生帐户添加以确定入侵。当然，一个狡猾的入侵者不会这么做，他们会通过各种方法进行帐户的隐藏。其常用的伎俩不外乎四种：

　　(1).激活Server 2003的Guest用户，并把其加入管理员组。对此，管理员一定要查看在administrators组中是否有个guest用户。如果存在，几乎可以肯定Server 2003被入侵了。

　　(2).创建隐藏帐户。入侵者在帐户的后面加“$”，比如把上面的命令改为“net user lw$ "test168" /add & net localgroup administrators lw$ /add”，就创建了一个lw$用户，该用户在命令提示符(cmd.exe)下输入“net user”命令是看不到的，但在“本地用户和组”中可以看到。

　　(3).克隆帐户。这应该是入侵者最常使用的，他们往往会克隆administrator帐户，这个帐户无论在命令提示符、“本地用户和组”设置注册表的“sam”项下也无法看到，隐蔽性极高。对此，管理员必须得通过工具才能查看系统中是否有克隆帐户。笔者推荐mt.exe，mt被很多杀毒软件定义为木马，也是攻击者进行帐户克隆的首选工具，但其也可以让系统中克隆帐户现行。

　　具体操作是：在命令提示符下进入mt目录输入命令：mt -chkuser。输入命令后，会在屏幕中输出结果，主要查看ExpectedSID和CheckedSID，如果这两个值不一样则说明账号被克隆了。在本例中可以看到账号simeon$的CheckedSID跟Administrator的CheckedSID值一样，说明simeon$克隆了Administrator账号。(图1)

   

    
    (4).Rookit帐户。通过Rootkit创建的帐户具有克隆帐户隐藏的所有特点，也具有非常高的隐蔽性。对于这样的危险帐户的清除首先要清除系统中的Rookit程序，只有把其清除了，所有的隐藏帐户就会显形。笔者推荐工具RootKit Hook Analyzer，其可以分析检测系统中的Rootkit程序并用红色显示出来，然后管理员就可以结束它。(图2)

    

　　  2.检查当前进程情况

　　进程是非常重要的一项，通过其可以查看是否可疑的程序在系统中运行。在一般情况下，可以通过“任务管理器”查看Server 2003进程情况，在其“进程”选项卡下Server 2003当前显式进程一目了然。甄别是否是危险进程，管理员要对系统进程或者常用程序的进程比较了解。对于拿不准的进程或者说不知道是Server 2003上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定。比如大家可以在“进程知识库”(http://www.dofile.com)进行查看比对。该网站比较详细地列举了“系统进程”、“应用程序进程”、“存在安全风险的进程”。当然，病毒、木马的进程是可以由攻击者更改的，但它们为了达到目的往往会在进程名上做文章，一般会取一个与系统进程类似的