2001-06-03 17:43
CLIENTS

　　2001-06-03 17:43
BOOTDISK

　　2001-06-03 17:43
I386

　　2001-06-03 17:46
PRINTERS

　　2001-06-03 17:46
SETUPTXT

　　2001-06-03 17:46
SUPPORT

　　2001-06-03 17:46
VALUEADD

　　2000-01-10 20:00 45 AUTORUN.INF

　　2000-01-10 20:00 304,624 BOOTFONT

　　2000-01-10 20:00 5 CDROM_IS.5

　　2000-01-10 20:00 5 CDROM_NT.

　　2000-01-10 20:00 12,354 READ1ST

　　2000-01-10 20:00 465,408 README.DOC

　　2000-01-10 20:00 267,536 SETUP.EXE

　　2001-06-04 17:37
SP1

　　2001-06-27 16:03
sp2

　　2001-07-06 00:05
system --->从来没有修改或安装什么文件程序啊 什么时候多了system目录？这个是我安装 win 2000 的安装文件。 日期怎么不对 2001-07-06，日志文件也没有 2001-07-06 的这一天的记录，可疑.......

　　7 个文件 1,049,977 字节 12 个目录 10,933,551,104 可用字节
　＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃ 总的来说入侵检测包括：

　　一、基于80端口入侵的检测 CGI IIS 程序漏洞......

　　二、基于安全日志的检测 工作量庞大

　　三、文件访问日志与关键文件保护 )

　　四、进程监控 后门什么的

　　五、注册表校验 木马

　　六、端口监控 21 23 3389 ...

　　七、用户 我觉得这个很重要，因为入侵者进入系统以后，为了方便以后的“工作”通常会加一个用户或者激活guest帐号提升为管理员的

　　/************** 借助第三方软件协助分析 IDS Firewall .....***********************/

　　对 unix & linux 入侵检测说几句

　　有必要先用扫描器扫描一下系统，搜集一下资料 CGI RPC TELNETD FTP ......本地远程溢出漏洞......

　　1、检查 suid sgid 程序

　　find / -user root -perm -4000 -print --常用

　　find / -group kmem -perm -2000 -print 

　　2、查看系统的二进制文件是否被更改

　　如：ls su telnet netstat ifconfig find du df sync login......

　　建议做入侵检测时候，从一个干净的系统 copy 过来这些文件 来做检测

　　使用 MD5 Tripwire 校验工具检测

　　3、检查 /etc/passwd 文件 ,

　　有没有新增的用户、没有口令的帐号、uid等于0的帐号......

　　4、检查有没有网络监听程序在运行

　　5、检查系统非正常的隐藏文件

　　find / -name ".. " -print -xdev

　　find / -name ".*" -print -xdev

　　6、在系统正常运作的情况下，系统管理员要经常使用下列命令(必要的话，系统管理员可以改变 path，或者修改二进制文件名称，放到一个只有自己知道的目录下)在保证二进制文件没有被篡改的情况下用绝对路径 iW[BXyR\x

　　/bin/who

　　/bin/w

　　/bin/last my

　　/bin/lastcomm

　　/bin/netstat

　　/bin/snmpnetstat

　　shell 的历史文件 如：.history 、.rchist、.bash_history......

　　7、日志

　　8、........ 因为 unix&vlinux系列源代码是开放的，所以如果入侵者装上了内核后门 强烈建议备份您机器上重要文件，重装系统，打好补丁，迎接入侵者

　　/******************借助第三方软件协助分析 IDS Firewall .....***********************/ 入侵检测介绍就到这里，在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，扼杀入侵的行动。