IIS&amp永利网址;Apache 攻击记录分析篇

黑客还可以用网页漏洞稽核软件Whisker(网址永利网址 1http://www.wiretrip.net/)来侦查网页服务器有没有安全后门。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件:

  另一个有名的攻击是asp源代码泄漏的漏洞,当这种攻击发生时,log文件会有如下记录:

小知识:一般而言,如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求;300到399代表必须由客户端采取动作才能满足所提出的要求;400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个,一个是404,代表客户端要求的资源不在服务器上,403代表的是所要求的资源拒绝服务。

  6、总结

  第三和第四个字段表示客户端使用的是哪种加密方式,以下的SSL_request_log分别记录从OpenSSL、Internet
Explorer和Netscape客户端程序发出的要求:
[07/Mar/2004:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA “GET
/ HTTP/1.0” 2692
[07/Mar/2004:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 “GET / HTTP/1.1”
2692
[07/Mar/2004:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 “GET /
HTTP/1.0” 2692
[07/Mar/2004:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0”
2692
    
另外黑客通常会复制目标网站,也就是所谓的镜射网站,用它来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport
Pro(网址永利网址 2http://www.tenmax.com/teleport/pro/home.htm)和Unix系统的Wget(网址永利网址 3http://www.gnu.org/manual/wget/)。在这里我为大家分析Wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容:这两个软件能全面快速搜寻整个网站,对所有公开的网页提出要求。只要检查一下记录文件就知道,要知道这是镜射这个动作是很简单的事。以下是IIS的记录文件:

摘要:本文主要讲述如何分析Web服务器记录,在众多记录里查找黑客攻击的蛛丝马迹,并针对当今流行的两类Web服务器给出具体的一些实例。

  网页如果被人探访过,总会在记录文件留下什么线索。如果网页管理员警觉性够高,应该会把分析记录文件作为追查线索,并且在检查后发现网站真的有漏洞时,就能预测会有黑客攻击网站。

  1、默认的web记录

这里的11.1.2.80这个主机是Unix系统的客户端,是用Wget软件发出请求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
这里的11.1.1.50系统是窗口环境的客户端,用的是TeleportPro发出的请求。

  对于未授权访问的攻击记录,Apache log会显示:

  MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器,记录文件就会记下客户端曾经呼叫Msadcs.dll文档:

  管理一个安全站点要求系统管理人员具备安全的常识和警惕性,从不同的渠道了解安全的知识不仅能对付已发生的攻击,还能对将会发生的攻击做到较好的防范。而通过Log文件来了解、防范攻击是很重要但又经常容易忽略的手段。

16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

  Web服务是Internet所提供最多,最丰富的服务,各种Web服务器自然也是受到攻击最多的,我们采用了很多措施来防止遭受攻击和入侵,其中查看Web服务器的记录是最直接,最常用,又比较有效的一种方法,但logging记录很庞大,查看logging记录是很繁琐的事情,如果抓不住重点,攻击线索就容易被忽略。下面就对最流行的两类Web服务器:Apache和IIS做攻击的实验,然后在众多的记录中查到攻击的蛛丝马迹,从而采取适当的措施加强防范。

  这种形式的要求在IIS和Apache的记录文件中会生成以下记录:

  下面我们看使用这两个工具后在服务器记录里的信息:

Apache记录文件的预设储存位置在/usr/local/apache/logs,最有价值的记录文件是Access_log,不过
SSL_request_log和SSL_engine_log也能提供有用的资料。
Access_log记录文件有七个字段,包括客户端IP地址、特殊人物识别符、用户名称、日期、Method
Resource
Protocol(GET、POST等;要求哪些资源;协议版本)、HTTP状态、还有传输的字节。

  2、收集信息

第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401,代表非法存取。

 

Apache:
11.1.1.50 – – [08/Mar/2004:12:57:28 -0700] “GET /cfcache.map HTTP/1.0”
404 266
11.1.1.50 – – [08/Mar/2004:12:57:28 -0700] “GET
/cfide/Administrator/startstop.html HTTP/1.0” 404 289
11.1.1.50 – – [08/Mar/2004:12:57:28 -0700] “GET /cfappman/index.cfm
HTTP/1.0” 404 273
11.1.1.50 – – [08/Mar/2004:12:57:28 -0700] “GET /cgi-bin/ HTTP/1.0”
403 267
11.1.1.50 – – [08/Mar/2004:12:57:29 -0700] “GET
/cgi-bin/dbmlparser.exe HTTP/1.0” 404 277
11.1.1.50 – – [08/Mar/2004:12:57:29 -0700] “HEAD /_vti_inf.html
HTTP/1.0” 404 0
11.1.1.50 – – [08/Mar/2004:12:57:29 -0700] “HEAD /_vti_pvt/
HTTP/1.0” 404 0
11.1.1.50 – – [08/Mar/2004:12:57:29 -0700] “HEAD /cgi-bin/webdist.cgi
HTTP/1.0” 404 0
11.1.1.50 – – [永利网址,08/Mar/2004:12:57:29 -0700] “HEAD /cgi-bin/handler
HTTP/1.0” 404 0
11.1.1.50 – – [08/Mar/2004:12:57:29 -0700] “HEAD /cgi-bin/wrap
HTTP/1.0” 404 0
11.1.1.50 – – [08/Mar/2004:12:57:29 -0700] “HEAD
/cgi-bin/pfdisplay.cgi HTTP/1.0” 404 0

  Apache的默认记录存放在/usr/local/apache/logs,其中最有用的记录文件是access_log,其格式包括客户端IP、个人标示(一般为空)、用户名(如果需要认证)、访问方式(GET
or POST…)、HTTP状态、传输的字节数等。

  大家要侦测这类攻击的关键就在于从单一IP地址发出大量的404
HTTP状态代码。只要注意到这类信息,就可以分析对方要求的资源,于是它们就会拼命要求提供Cgi-bin
scripts(Apache服务器的cgi-bin目录;IIS服务器的Scripts目录)。

  在IIS和Apache的log里显示如下:

常规探测手段的记录分析
网页服务器版本是很重要的信息,黑客一般先向网页服务器提出要求,让服务器送回本身的版本信息:只要把「HEAD
/ HTTP/1.0」这个字符串用常见的Netcat
utility(相关资料网址永利网址 4http://www.l0pht.com/~weld/netcat/)和OpenSSL
binary(相关资料网址永利网址 5http://www.openssl.org/)送到开放服务器的通讯端口就成了。注意看下面的示范:

  随着攻击的发展,我们可以用一些Web漏洞检查的软件,如
Whisker,它可以检查已知晓的各种漏洞,如cgi程序导致的安全隐患等。下面是运行Whisker1.4的IIS和Apache的相关记录:

17:50:13 11.1.2.80 GET /default.asp+.htr 200

  17:50:13 10.22.1.81 GET /default.asp+.htr 200

17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200

  当攻击发生后,在log会留下对msadcs.dll请求的记录。

  虽然这类要求合法,看似很平常,不过却常常是网络攻击的前奏曲。Access_log和IIS的记录文件没有表明这个要求是连到SSL服务器还是一般的网页服务器,可是Apache的
SSL_request_log和SSL_engine_log(在/usr/local/apache/logs目录下)记录文件就会记录是否有联机到SSL服务器。请看以下的SSL_request_log记录文件:

  以上的活动看上去很正常,也不会对服务器产生任何影响,但这是通常攻击的前奏。
  3、Web站点镜像