1、深圳市極限網絡科技有限公司2022-5-21深圳市極限網絡科技有限公司 對一個企業的運維人員來說，監控工作基本上算是工作中的核心，通過實時監控。運維人員可以不斷的優化系統性能，及時地備份數據，在服務器出現故障時能夠及時的修復，確保企業的服務能夠正常開展。 但目前來說，大部分的運維人員并不是專業的網絡信息安全人員，服務器被入侵以后不能及時的發現和修補漏洞，甚至有些系統被入侵了好長時間運維人員都一無所知，最終的結果導致內網的核心信息資料泄漏造成嚴重損失。 從傳統防護的角度來說，防火墻是大部分運維人員接觸最多的。但由于很多企業采購的防火墻只是起到網絡隔離的作用（放行/拒絕），并不能針對已經信任的應用

2、進行行為審計，從而導致攻擊事件的發生。 據不完全統計，75%的入侵事件是通過WEB服務進來的，所以我們今天著重討論下WEB服務器針對入侵行為的幾個要點：1、對網站的日志產生記錄進行分析2、監控網站目錄的文件變更3、監控所有可執行文件及命令的創建4、對剪貼板的實時監控深圳市極限網絡科技有限公司 網站日志是WEB服務器接受和處理請求及運行時錯誤等等各種原始通訊信息的記錄文件。通常存放在WEB服務器安裝目錄的logs目錄中，一般以.log為后綴，網站日志一般都是采用比較有規律的名字來命名的，通常為文件名+日期的方式，也有只有一個日志的情況，這個一般是根據系統的設定來自動生成的。深圳市極限網絡科技有限

3、公司深圳市極限網絡科技有限公司 通過分析網站日志，我們可以清楚的得知用戶是什么IP、什么時間、用什么操作系統、什么瀏覽器、什么分辨率顯示器的情況下訪問了你網站的哪個頁面，是否訪問成功。 無論什么類型的網站日志，有幾個記錄是最基本的：1、訪問的IP2、訪問的頁面3、訪問的時間4、訪問是否成功（HTTP狀態嗎）深圳市極限網絡科技有限公司 由于手工分析日志效率太慢，已經慢慢被半自動化或者全自動化分析給替代了，我們今天主要將的是自動化分析這種。 如果我們需要實時分析日志，那么就需要針對日志的文件變更進行檢測：那么外面可以采用filelength 函數來實現，可以通過每一段時間就獲取一次文件的大小，建議

4、不要太短時間，我們可以采取每10秒就讀一次！或者20秒，30秒，不建議太頻繁深圳市極限網絡科技有限公司 日志文件通常是由WEB服務器占有打開，所以我們必須使用共享樣式打開日志文件。例如下面采用VB.NET使用共享鎖方式打開日志文件。常規FileOpen會導致“The process cannot access the file xxx.log because it is being used by another process.”Dim fs As New FileStream(“xxx.log, FileMode.Open, FileAccess.Read, FileShare.ReadW

5、rite)Dim read As New IO.StreamReader(fs, System.Text.Encoding.Default)Dim txt As StringIf log_all_Len 0 Then read.BaseStream.Seek(log_all_Len, IO.SeekOrigin.Begin)End IfWhile read.Peek 0 txt = read.ReadLine If txt.Length = 0 Then Continue While log_all_Len += txt.Length + 2 ListBox1.Items.Add(txt &a

6、mp; | & log_all_Len)End Whileread.Close()深圳市極限網絡科技有限公司 通常，無論是任何型號的行為監控設備，安全預警設備，IDS,IPS，防火墻等等，都會有一個特征庫，特征庫也就是根據特定的關鍵字，或者特定行為進行判斷這個是屬于哪種活動，由于我們主要是分析日志，所以外面的主要特征是采用關鍵字分析這種，更靈活的也可以采用正則，但是正則的貪婪模式也覺決定了匹配效率的性能下降，但是這個已經足夠日常的特征匹配分析了。下面列舉一些常見的關鍵字，當然，實際上規則可能非常多，這里就不一一列舉注入類型的關鍵字：select|union|order|by|and|o

7、r|like|in|not|is| |%|0 x|char|chr|asc|ascii|substring|*|/|+|-|=|insert|update|.|delete|load_file|outfile|exec跨站類型的關鍵字：Alert| javascript |Xss文件包含類型的關鍵字：././|.%5c.%5c文件上傳類型的：xxx.php.xxx|xxx.asp;.jpg|php1|php2|asa|cer深圳市極限網絡科技有限公司 最后的工作就是把分析出來的數據進行整合，導出報表之類的，這個可以根據自己的需要來任意處理了。是要蘿卜還是青菜，這個就看個人口味了！通過以上這些方

8、法，我們就可以實時的對WEB服務器上的情況進行監控和預警，對運維人員來說，這個可以解決市場上面一些手動分析日志的局限性，比如實時性不強，大文件的分析不靈活等等問題。也可以說是對防火墻或者一些專用防護設備被突破以后的一些補充監控和預警深圳市極限網絡科技有限公司 通常，對運維人員來說，服務器由于對外性質，必然成為了企業被攻擊的入口，當我們沒有辦法避免服務器被入侵的時候，我們是否能夠采用一些反追蹤的監控的技術，記錄攻擊者到底在我們的服務器上執行了什么，以判斷攻擊者的意圖。答案是可以，但是這個涉及到比較底層HOOK編程。什么是HOOK技術？ HOOK技術是一種系統API改寫技術。通過修改原有函數地址入

9、口點，改變它的地址指向新的自定義的函數。把自身的代碼融入到目標的進程地址空間，達到重新利用的目的。深圳市極限網絡科技有限公司CreateProcess 是一個WIN32API函數，主要用來創建一個新的進程和它的主線程，這個新進程是運行一個指定的可執行文件或者命令。 通過HOOK CreateProcess，我們就能夠監視進程的創建和命令進程的創建消息，這樣就大致可以模糊地推斷出系統運行的一些程序和命令，對于運維人員來，執行執行的記錄為我們分析攻擊者的意圖起著很大的作用。深圳市極限網絡科技有限公司Hook ReadConsole（簡單描述一下）該函數用于從控制臺緩沖區中讀取輸入字符，同時并將這些

10、數據移出該緩沖區。也就是接受CMD命令的管道，負責讀取和輸出執行執行結果。通過HOOK該系統函數，那么我們就可以捕獲到系統詳細的CMD命令情況。深圳市極限網絡科技有限公司在注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor“AutoRun”=“run.bat“這個注冊表位置是所有cmd命令啟動的時候都要檢測 的地方，如果這個值不為空，那就調用EXPLORER進程來啟動后面的參數，通過這個地方，我們就可以對命令提示符進行劫持。比如通過xxx.cmd腳本來替換原有的命令提示符管道。這樣就可以記錄下CMD的詳細執行記錄。 如果再加上一些句

11、柄枚舉和內存搜索的操作，其實可以獲取到這個命令提示符的一些執行數據的。深圳市極限網絡科技有限公司 如果我們比較關心類似防篡改之類的防護軟件，那么這個章節我們就可以來討論一下FileSystemWatcher這個玩意，這是WINDOWS系統中的一個文件事件偵聽器，可以監測目錄中的變化及更改！當我們修改被偵聽的目錄以后，產生了比如文件新建，修改，刪除，重命名操作的時候，WINDOWS就會觸發一個消息通知，通過這個機制，我們就能夠捕獲到具體是哪個文件在變動，這樣，防止篡改的思路就可以醞釀出來了。深圳市極限網絡科技有限公司掃描網站目錄中的文件，然后做一個鏡像備份鏡像文件覆蓋文件變更，發生變更，通過Fi

12、leSystemWatcher得到具體的文件名深圳市極限網絡科技有限公司Clipboard 靜態方法 Clear 從系統剪貼板中清除任何數據。 ContainsAudio 查詢剪貼板上是否存在 WaveAudio 數據格式的數據。 ContainsData 查詢剪貼板上是否存在指定數據格式的數據。 ContainsFileDropList 查詢剪貼板上是否存在 FileDrop 數據格式的數據。 ContainsImage查詢剪貼板上是否存在 Bitmap 數據格式的數據。 ContainsText 查詢剪貼板上是否存在 UnicodeText 格式的數據。 ContainsText(Text

13、DataFormat) 查詢剪貼板上是否存在文本數據格式的數據。GetAudioStream返回 WaveAudio 數據格式的剪貼板數據流。 GetData從剪貼板檢索指定格式的數據。 GetDataObject返回表示剪貼板全部內容的數據對象。 GetFileDropList返回一個字符串集合，其中包含剪貼板上提供的拖放文件的列表。 GetImage從剪貼板返回一個 BitmapSource 對象，其中包含 Bitmap 格式的數據。 GetText返回一個包含剪貼板上 UnicodeText 數據的字符串。 GetText(TextDataFormat) 返回一個包含剪貼板上文本數據的字符串。 SetAudio(Byte()將音頻數據（WaveAudio 數據格式）存儲在剪貼板上。 音頻數據指定為字節數組。 SetAudio(Stream)將音頻數據（WaveAudio 數據格式）存儲在剪貼板上。 音頻數據指定為流。 SetData以指定格式在剪貼板上存儲指定數據。 SetDataObject(Object)將指定的非永久性數據對象放置在系統剪貼板上。 SetDataObject(Object, Boolean)將指定的數據對象置于系統剪貼板中 SetFileDropList將 FileDrop 數據存儲在剪貼板上。 拖