各位有沒有把電腦不關機~~開個一天過~~~
我昨天要抓東西~~~開個一天~~~~
反正也蠻無聊的~~就裝一個Snort入侵檢測系統
~~~哇塞~~我的電腦只不過開個一天~~~
看到5-6個IP~~~一直嚐試使用unicode這種老漏洞在入侵探測我的電腦~~
ㄏㄏ~~~駭客還真是多唷~~~
各位有裝寬頻網路的人~~~奉勸你們一定要裝防火牆~~~
我光是一天就有~~~5-6個IP想要入侵我的電腦了~~~~
有裝防火牆一定要~~做好良好的設定~~不要以為裝了就沒事~~~
尤其現在的木馬特別多~~~防火牆沒有設定好~~反彈式木馬~~~
就有機可乘~~~一般的木馬是~~在電腦上開一個port~等待連結~~
而反彈式木馬~~是主動式連結~~~一般的防火牆~~對連出外的~~通常沒有設定
我就把我使用Snort所紀錄下來的讓大家參考~~~
[**] WEB-IIS cmd.exe access [**]
01/22-15:17:49.617555 61.59.137.*:3461 -> 61.59.177.*:80 TCP TTL:123 TOS:0x0 ID:12874 IpLen:20 DgmLen:137 DF
***AP*** Seq: 0xF8F7A87C Ack: 0x2BBC28D8 Win: 0x4380 TcpLen: 20
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
63 31 25 31 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 c1%1c../winnt/sy
73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F stem32/cmd.exe?/
63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host:
www..Connn
65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0A
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
.
而且還是一連串的掃描~~其他的紀錄就不明細了~~
大多數的人~~都不知道使用Unicode漏洞來入侵~~如果沒有成功~或是懶得清日誌~其實~~紀錄檔全在IIS的WEB~~就可以找到了~~~
入侵檢測其實也沒有想像中好用~~沒設定好~~誤報率多到讓你想關掉~~
通常要配合防火牆來做搭配~~
有關的規則~~就要詳細的看一下使用手冊摟
登入
註冊
問答集
搜尋
