今天用GHOST恢复系统。
在GHOST11里面选择了镜像文件以及要恢复的目标分区时,发现目标分区(C盘)变成灰色。
后重启进入Windows系统,将镜像文件复制到其他盘再进入GHOST恢复时,情况依旧。
百思不得其解,网上有的人说将C盘格式化,有人说目标分区有问题(其实这一点算是正确的)。
在不知如何处理时,向网友『海』(SH人,职业:系统集成)请教。
用Ghostexp处理镜像文件,将镜像文件内的不必要的东西都删除,以缩小镜像文件自身的大小。
用Ghostexp将镜像文件内的IIS日志以及系统补丁卸载程序删除后,镜像文件由之前的2.96G变成了1.75G,再切换回DOS执行GHOST恢复,问题得以解决。
在此特别感谢『海』多次给予本人各种问题的解决。
或许你还不知道,MRTG还是一个有效的入侵检测工具。大家都知道,入侵者扫描与破坏后都能生成一些异常的网络流量,而人们在一般情况下是意识不到的。但是MRTG却能通过图形化的形式给管理员提供入侵的信息。并可以查出数周之前的入侵信息,以备管理员参考。
一,攻击行为对服务器造成的信息
1,攻击者使用CGI漏洞扫描器对潜在的CGI漏洞脚本进行扫描时,HTTP 404 Not Found errors的记录会增长。
2,攻击者尝试暴力破解服务器上的帐户,HTTP 401 Authorization Required errors 的记录会增长。
3,一种新的蠕虫出现,某一个特定的协议的流量会增长。
4,蠕虫通过傀儡主机,攻击其他的服务器,出外的流量增加,并增大CPU的负荷。
5,入侵者尝试SQL injection攻击,HTTP 500 Server Errors记录会增长。
6,垃圾邮件发送者在网络上寻找中继SMTP服务器来发送垃圾邮件,会造成SMTP的和DNS lookups流量大增,同时造成CPU负荷增大。
7,攻击者进行DDOS攻击,会造成ICMP流量,TCP连接,虚假的IP,多播广播流量大增。造成浪费大量的带宽。
看完上面的,我们可以总结出,攻击者要入侵必须会影响到服务器的这些资源:: CPU, RAM,磁盘空间,网络连接和带宽。入侵者还有可能对服务器建立进程后门,开放端口,他们还对他们的入侵行为进行伪装掩盖,避免遭到入侵检测系统的监视。
二,攻击者使用以下的方法避免被检测到:
1,探测扫描很长时间后,才进行真正的入侵进攻。
2,从多个主机进行攻击,避免单一的主机记录。
3,尽量避免入侵造成的CPU, RAM和驱动器的负荷。
4,利用管理员无人职守时入侵,在周末或者节假日发起攻击。
三,对于IIS 6,我们需要监视的是
1,网络流量,包括带宽,数据包,连接的数量等。
2,网络协议的异常错误。
3,网站的内外流量,包括用户的权限设置,外部请求的错误流量等。
4,线程和进程。
四,在Windows 2003下安装MRTG
在使用MRTG之前,你需要在你的服务器里安装SNMP 服务。具体步骤如下:从控制面板中选择添加/删除程序,点击添加和删除windows组件。管理和监视工具中的详细资料里就可以找到简单网络管理协议,即可安装。
安装成功后,你需要立刻安全配置一下,我们大家都知道,SNMP在网络上决不是一个安全的协议,你可以通过http://support.microsoft.com/?kbid=324261这个连接来具体了解。但是我们只是在本地使用SNMP,但是还是建议你通过防火墙屏蔽SNMP的161与162端口和使用IPSec。并且要配置为obscure community string。在管理工具中,在“服务”中选择“SNMP Service”,然后选择“安全”标签(在此可以修改团体名称),设为只读访问。尽管community string安全问题不多,但是你还是要避免使用community string为只读访问。
MRTG是一个用Perl编译的C程序。你还要安装ActivePerl来解决支持脚本的问题。下载最新的MRTG。可以到http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/下载,
注意要选择.zip的文件下载。这篇文章所使用的版本请到http://securityfocus.com/microsoft/images/burnett_MRTG_files.zip下载。
把MRTG解压到C:\Program Files\MRTG目录下。
安装Perl的过程其实很简单。首先打开PERL的安装文件 ,点下一步,然后同意软件使用权的协议,下一个画面会让您确认是否使用[PPM3发送个人信息至ASPN],还是省着点儿,不要选它,直接按下一步。然后就是下一步直通车,直至Perl安装成功。
由于MRTG是一个Perl写的程序,不需要安装,稍后有些安装过程需要在DOS里面完成,所以建议解压的路径为C:\MRTG。
下面给出详细的安装步骤:
1. 运行cmd,进入DOS窗口;
c:\>cd\MRTG\bin 进入刚才解压的MRTG目录,准备执行命令;
使用perl MRTG 命令测试MRTG是否正确;
执行命令行perl cfgmaker caacnetwork@10.3.0.20 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg
caacnetwork.cfg是输出配置文件,位置在MRTG\bin。 workdir内是MRTG生成的网页文件。本例指定在IIS默认目录。
caacnetwokr@10.3.0.20 注释: caacnetwork是团体名, 10.3.0.20是IP地址。
当有多个设备要监控时,用下面的命令:
perl cfgmaker caacnetwork@ip1 caacnetwork@IP2 community@ip3 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg
2.为了让MRTG每个五分钟监视一次,在DOS下MRTG\bin目录用下面的命令:
(1)echo RunAsDaemon:yes>>caacnetwork.cfg
(2)echo Interval:5>>caacnetwork.cfg
3.使用indexmaker生成报表首页:
perl indexmaker caacnetwork.cfg>c:\Inetpub\wwwroot\MRTG\index.htm
4.运行MRTG:
perl MRTG --logging=caacnetwork.log caacnetwork.cfg
访问c:\Inetpub\wwwroot\MRTG\index.htm检查MRTG是否可以正常工作,生成统计图形。
5.将MRTG 配置为系统服务
使用windows 2003 resource kit中的Instsrv.exe和srvany.exe。首先安装win2003 rerouse kit
将srvany.exe拷贝到c:\MRTG\bin 目录
1.添加srvany.exe为服务
instsrv MRTG "c:\MRTG\bin\srvany.exe"
2. 配置srvany:
在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRTG中,添加一个parameters子键。在该子键中添加以下项目:
Application的字串值,内容为c:\perl\bin\perl.exe ---该值为perl程序目录。
AppDirectory的字串值,内容为c:\MRTG\BIN\ ----该值为MRTG程序目录。
AppParameters的字串值,内容为MRTG --logging=caacnetwork.log caacnetwork.cfg。
3.管理工具---服务中,找到MRTG服务,启用服务。
MRTG就可以全天监视制定主机的网络信息了。
五,具体配置SNMP计数器
尽管微软提供了SNMP的计数器,但是我发现它对一些应用程序支持有些问题,然而,MRTG却能从很多的应用程序中得到消息。但是我们通过Windows Management Instrumentation (WMI) 也能得到包括所有的计数器的性能信息。同SNMP不同的是,微软在WMI下了很大的时间和金钱。比如:我想得到关于线程和进程的信息,我可以使用以下的脚本轻易实现:
Set oWService=GetObject("winmgmts:\\localhost\root\cimv2")
Set colItems=oWService.ExecQuery("SELECT * FROM Win32_PerfFormattedData_PerfOS_System",,48)
For Each Item in colItems
Param1=Param1 + Item.Processes
Param2=Param2 + Item.Threads
Uptime=Item.SystemUptime
Next
WScript.Echo Param1
WScript.Echo Param2
WScript.Echo Uptime & " seconds"
WScript.Echo "LocalHost"
Another problem I had was getting detailed or custom web statistics through either SNMP or WMI. To solve that, I used Microsoft's LogParser tool to run custom queries from a simple batch file:
@for /f "tokens=1,2,3,4* delims=/ " %%i in ('date /t') do @set year=%%l&& @set month=%%j&& @set day=%%k
@set logfile=c:\windows\system32\LogFiles\%1\ex%YEAR:~2,2%%month%%day%.log
@If Exist %logfile% (
@logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 400AND sc-status<500)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q
@logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 500AND sc-status<600)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q
) ELSE (
@Echo %logfile%
@Echo 0
)
@Echo Unknown
@Echo %1
因为微软的日志记录工具也非常强大,和MRTG的计数器配合使用,在加上免费的入侵检测系统Snort,效果会更好。
六,最后
在你自定义的完你的计数器完成之后,通过图行化的状况就可以轻易的找出入侵者。可以在网站http://snmpboy.msft.net看到在Windows 2003 server中的snmp更多的信息。
笔者电脑中的E盘由于存放了大量的数据资料,空间已显得捉襟见肘,而C盘和D盘的剩余空间比较多,那何不分一部分给E盘呢?于是笔者用Windows 环境下无损分区软件PartitionMagic(以下简称PQ),把C盘的1GB和D盘的500MB分给了E盘,调整速度虽然异常缓慢,但最终还是完成 了。
接着进入Windows系统后,双击“我的电脑”,进入E盘查看自己的数据资料文件,天啊!E盘里面的文件全部消失,而且空间大小没有发生变化,再查看C、D盘,发现空间已经缩小了。
进入E盘选择“检查错误”,但检查竟然无法操作。尝试着用Windows自带的“磁盘扫描程序”检错,果然检测到了许多丢失的文件碎片,“全部修复”后,E盘马上填满了无数的.CHK文件,但这些根本不是E盘中本身的文件,怎么办呢?里面可都是我的宝贵数据呀!
静下心来细想,对了,Ghost中不是有“磁盘检测功能”吗?死马当着活马医,于是进入Ghost,依次选取“Local/Check/Disk”,按回车后开始检测。发现检测进程的目录和文件中居然有E盘原有的文件,这下要找回原有文件就好办了。
首先用Ghost把E盘做一个镜像文件保存在D盘,然后将E盘格式化,完成后,E盘空间变为了用PQ调整时期望的大小了。最后用Ghost Explorer打开镜像文件,把其中的文件提取到E盘,再次打开E盘运行其中的程序,一切正常,至此成功地恢复了被PQ损坏的分区。
解决问题后细细回想,发现原来笔者在调整分区时笔者犯了一个低级错误,因为PQ8.0只能对相邻分区进行调整,而跨分区调整C盘和E盘就导致了上面的问题。
8042prt 控制ps2的键盘和鼠标, 如果你使用的为USB键盘和鼠标, 就可能出现此错误,
可修改注册表, 禁用i8042prt
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt]
把start的键值从1变为4, 就是SERVICE_DISABLED
用户都升级到了IE7,结果发现浏览网页已经没办法顺利进行了,表现现象为:曾经打开过的WORD文档再次打开出现乱码;CAD文件在Visview中打开到一半时会自动关闭Visview,以致无法浏览到文件;在IE6的机器上可以正常浏览。所以,决定卸载IE7,改用IE6,使用百度从网上查到在方法如下:
方法1:
1、点击开始->控制面板->添加删除程序。
2、点击上方的“显示更新”选项,这样就能在下面的列表中看到IE7的选项了,点击“卸载”。
3、卸载了IE7之后重启系统,然后就可以回到IE6了。
方法2:利用windows XP中的IE6.0修复方法
1、在“运行”输入“regedit”回车,打开注册表。
2、在注册表中找到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ActiveSetup \\InstalledComponents\\{89820200-ECBD-11cf-8B85-00AA005B4383},在其右窗口中,将 IsInstalled值由“1”改为“0”。
3、在“控制面板”里的“添加或删除程序”中选中“显示更新”,然后卸载IE7。
4、重启,系统将自动删除IE,并自动重装IE。
方法3:
1、在注册表HKEY_CURRENT_USER\software\Microsoft\internet explorer新建一个字符串值,名字为InstalledByUser,然后命名为你登录系统的名字;
2、不用重启,在运行中重新输入卸载命令:%windir%\ie7\spuninst\spuninst.exe,就出现了的ie7卸载界面,重启即可见到ie6。
以下网址提供卸载工具下载: http://down1.tech.sina.com.cn/download/down_page/1158422400/29904.shtml
操作系统环境:Windows XP(32 Bit) Service Pack 2 IE
版本:7.0.5346.5
恢复IE6
1、在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup \InstalledComponents\{89820200-ECBD-11cf-8B85-00AA005B4383},在其右窗口中,将 IsInstalled值由“1”改为“0”。
2、放入WINDOWS XP安装光盘,在运行键入:rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\Inf\ie.inf
