Windows 2000服务器入侵前兆检测方法技巧

• 关 键 词：
• windows 2000
• windows2000
• microsoft
• internet
• explorer

　　需要注意类似这样的内容：

　　如果是正常用户，那么他是不会发出这样的请求的，这些是利用IIS的Unicode漏洞扫描的结果。后面的404表示并没有这样的漏洞。如果出现的是200，那么说明存在Unicode漏洞，也说明它已经被别人扫描到了或者已经被人利用了。不管是404或者200，这些内容出现在日志中，都表示有人在扫描（或者利用）服务器的漏洞，这就是入侵前兆。日志也记录下扫描者的来源：192.168.1.2这个IP地址。

　　再比如这个日志：

　　这是一个使用HEAD请求来扫描WWW服务器软件类型的记录，攻击者能够通过了解WWW使用的软件来选择扫描工具扫描的范围。

　　IIS通常都能够记录下所有的请求，这里面包含很多正常用户的请求记录，这也让IIS的日志文件变得非常庞大，上十兆或者更大，人工浏览分析就变得不可取。这时可以使用一些日志分析软件，帮助日志分析。或者使用下面这个简单的命令来检查是否有Unicode漏洞的扫描事件存在：

　　find /I "winnt/system32/cmd.exe" C:logex020310.log

　　“find”这个命令就是在文件中搜索字符串的。我们可以根据扫描工具或者漏洞情况建立一个敏感字符串列表，比如“HEAD”、“cmd.exe”（Unicode漏洞）、“.ida”“.idq”（IDA/IDQ远程溢出漏洞）、“.printer”（Printer远程溢出漏洞）等等。

【深 度 阅 读】 相 关 文 章

• 下载Flash播放插件
• 如何重装xp系统图解
• 如何利用路由器设置局域网
• 巧妙清除Windows 2000/XP登录密码