作者 主題: 你的 server 中獎了嗎 ?  (閱讀 4500 次)

0 會員 與 1 訪客 正在閱讀本文。

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 276
  • 性別: 男
    • 檢視個人資料
你的 server 中獎了嗎 ?
« 於: 2008-11-20 18:55 »
近來惡意程式泛濫, 用傳統病毒碼比對的方式已無法完全偵測得到, 很難保證 server 沒被植入.
若公司沒有建置適合的網路分析系統時, 只好靠人土法練鋼囉. 分享偵測的小技巧:

現在的惡意程式植入後, 通常都會有 downloader 不定時到 Internet 下載其他惡意程式或做回報(phone home)的行為.
這種偷偷摸摸的行為, 不像以前的蠕蟲會爆發大量連線. 因此不容易被管理者察覺. 所以善用 server 前端的 firewall 或 IP 分享器
的連線記錄, 就能幫你發現這些異常連線的行為.

方法:設定 server to WAN 的 firewall rule, 並啟動 log. 定時檢查分析.

如何判斷正常或異常呢 ?
正常的行為:
1.OS 或 server 上安裝的軟體進行 auto update. (通常是HTTP/HTTPS)
2.上面有已知的應用程式或服務會主動對外連線, 如時間同步. DNS server query. mail server 外送的SMTP.

可能不正常的行為:
1.明明不是 mail server 也沒裝 mail client 去收發信. 卻一直有往外 SMTP or POP3 的連線.
2.不是DNS server, 卻有 DNS query 往外(而且是往非網卡上設的DNS server).
3.網外的HTTP/HTTPS連線, 看是不是屬於應該去的. 
   用whois查一下那個IP
   用其他電腦 browser 連看看. 如果有網頁顯示, 可以判斷server應不應有主動往這裡連的行為.
4.destnation port > 1024 的連線.

總之, 這個檢查的基本原理就是, 把正常的連線行為剃除後, 剩下的就是那些可疑的了. 再一一籬清排除後, 剩下的就要注意囉.
多練習可以增加你的敏銳度, 以後 log 用眼睛稍微一瞄, 就可發現異常囉. (功力會增加不少, 近視度數也會增加不少)

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
回覆: 你的 server 中獎了嗎 ?
« 回覆 #1 於: 2008-11-21 15:00 »
http://www.netlimiter.com/

免費版本的 monitor 就可以了,一直開著會統計資料,一覽無疑。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>