二、容易被忽视的安全角落

　　1.检查系统服务

　　攻击者在攻克Server 2003后，往往会上传一个木马的服务端从而实现对Server 2003的远程控制。这些木马的服务端往往是以服务的形式随系统启动而运行的。对这木马服务端的检测，可以通过系统的“服务”工具实现。

　　运行services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetServices项进行查找，通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。

　　需要提醒的是，这些木马的服务端在生成之前都可以进行设置。比如服务端运行后进程的名称、释放的目录、Server 2003描述等，所以管理员一定要仔细辨别。(图8)

　　2.查看相关日志

　　Server 2003中的日志有很多类，与笔者认为与入侵检测相关首先是“安全”日志，该日志记录了用户(本地或者远程)系统的详细信息。另外，与Server 2003中运行的服务相关的比如DNS、IIS等也是入侵检测中特别注意的。

　　运行eventvwr.msc，点击“安全性”就可以在右边看到与安全相关的日志。比如第一条日志显示LW用户在2008-6-21的12:46:23远程登陆了系统图9，如果管理员自己没有登录或者系统中本来没有该用户，那么就可以断定Server 2003被入侵了。(图9)