Rss订阅

首页 »安全 » 黑客送服务器:如何通过Web服务器记录查找黑客攻击 »正文

黑客送服务器:如何通过Web服务器记录查找黑客攻击

来源: 发布时间:星期六, 2009年9月12日浏览:12次评论:0

来自:信息学院

摘要:本文主要讲述如何分析Web服务器记录

在众多记录里查找黑客攻击

蛛丝马迹

并针对当今流行

两类Web服务器给出具体

些例子

　　现今

网络

安全越来越受到大家

重视

在构建网络安全环境时

在技术手段

管理制度等方面都逐步加强

设置防火墙

安装入侵检测系统等等

但网络安全是个全方位

问题

忽略哪

点都会造成木桶效应

使得整个安全系统虚设

本文从分析
Web服务器

logging记录来找出漏洞

防范攻击

从而加强Web服务器安全

　　Web服务是Internet所提供最多

最丰富

服务

各种Web服务器自然也是受到攻击最多

我们采用了很多措施来防止遭受攻击和入侵

其中查看Web服务器

记录是最直接

最常用

又比较有效

种思路方法

但logging记录很庞大

查看logging记录是很繁琐

事情

如果抓不住重点

攻击线索就容易被忽略

下面就对最流行

两类Web服务器:Apache和IIS做攻击

实验

然后在众多

记录中查到攻击

蛛丝马迹

从而采取适当

措施加强防范

　　1、默认

web记录

　　对于IIS

其默认记录存放在c:\winnt\system32\logfiles\w3svc1

文件名就是当天

日期

记录格式是标准

W3C扩展记录格式

可以被各种记录分析工具解析

默认

格式包括时间、访问者IP地址、访问

思路方法(GET or POST…)、请求

资源、HTTP状态(用数字表示)等

对于其中

HTTP状态

我们知道200－299表明访问成功；300－399表明需要客户端反应来满足请求；400－499和500－599表明客户端和服务器出错；其中常用

如404表示资源没找到

403表示访问被禁止

　　Apache

默认记录存放在/usr/local/apache/logs

其中最有用

记录文件是access_log

其格式包括客户端IP、个人标示(

般为空)、用户名(如果需要认证)、访问方式(GET or POST…)、HTTP状态、传输

字节数等

　　2、收集信息

　　我们模拟黑客攻击服务器

通常模式

先是收集信息

然后通过远程命令

步步实施入侵

我们使用

工具是netcat1.1 for windows

Web服务器ip为10.22.1.100

客户端IP为:10.22.1.80

　　C:>nc -n 10.22.1.100 80
　　HEAD / HTTP/1.0
　　HTTP/1.1 200 OK
　　Server: Microsoft-IIS/4.0
　　Date: Sun, 08 Oct 2002 14:31:00 GMT
　　Content-Type: text/html
　　Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
　　Cache-control: private

　　在IIS和Apache

log里显示如下:

　　IIS: 15:08:44 10.22.1.80 HEAD /Default.asp 200
　　Linux: 10.22.1.80- - [08/Oct/2002:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

　　以上

活动看上去很正常

也不会对服务器产生任何影响

但这是通常攻击

前奏

　　3、Web站点镜像

　　黑客经常镜像

个站点来帮助攻击服务器

常用来镜像

工具有Windows下

Teleport pro和Unix下

Wget

　　下面我们看使用这两个工具后在服务器记录里

信息:

　　16:28:52 10.22.1.80 GET /Default.asp 200
　　16:28:52 10.22.1.80 GET /robots.txt 404
　　16:28:52 10.22.1.80 GET /header_protecting_your_privacy.g

200
　　16:28:52 10.22.1.80 GET /header_fec_reqs.g

200
　　16:28:55 10.22.1.80 GET /photo_contribs_sidebar.jpg 200
　　16:28:55 10.22.1.80 GET /g2klogo_white_bgd.g

200
　　16:28:55 10.22.1.80 GET /header_contribute_on_line.g

200
　　16:49:01 10.22.1.81 GET /Default.asp 200
　　16:49:01 10.22.1.81 GET /robots.txt 404
　　16:49:01 10.22.1.81 GET /header_contribute_on_line.g

200
　　16:49:01 10.22.1.81 GET /g2klogo_white_bgd.g

200
　　16:49:01 10.22.1.81 GET /photo_contribs_sidebar.jpg 200
　　16:49:01 10.22.1.81 GET /header_fec_reqs.g

200
　　16:49:01 10.22.1.81 GET /header_protecting_your_privacy.g

200

　　10.22.1.80是使用Wget

Unix客户端

10.22.1.81是使用Teleport pro

Windows客户端

都请求robots.txt文件

Robots.txt是请求没有被镜像

文件时所要用到

所以看到有对robots.txt文件

请求

表明有镜像

企图

当然

在Wget和Teleport pro客户端

可以手工禁止对robots.txt文件

访问

这时

辨别思路方法可以看是否有从同

IP地址来

重复资源请求

4、漏洞扫描

　　随着攻击

发展

我们可以用

些Web漏洞检查

软件Software

如 Whisker

它可以检查已知晓

各种漏洞

如cgi

导致

安全隐患等

下面是运行Whisker1.4

IIS和Apache

相关记录:

　　IIS
　　
12:07:56 10.22.1.81 GET /SiteServer/Publishing/viewcode.asp 404
　　12:07:56 10.22.1.81 GET /msadc/samples/adctest.asp 200
　　12:07:56 10.22.1.81 GET /advworks/equipment/catalog_type.asp 404
　　12:07:56 10.22.1.81 GET /iisadmpwd/aexp4b.htr 200
　　12:07:56 10.22.1.81 HEAD /scripts/samples/details.idc 200
　　12:07:56 10.22.1.81 GET /scripts/samples/details.idc 200
　　12:07:56 10.22.1.81 HEAD /scripts/samples/ctguestb.idc 200
　　12:07:56 10.22.1.81 GET /scripts/samples/ctguestb.idc 200
　　12:07:56 10.22.1.81 HEAD /scripts/tools/

dsn.exe 404
　　12:07:56 10.22.1.81 HEAD /msadc/msadcs.dll 200
　　12:07:56 10.22.1.81 GET /scripts/iisadmin/bdir.htr 200
　　12:07:56 10.22.1.81 HEAD /carbo.dll 404
　　12:07:56 10.22.1.81 HEAD /scripts/proxy/ 403
　　12:07:56 10.22.1.81 HEAD /scripts/proxy/w3proxy.dll 500
　　12:07:56 10.22.1.81 GET /scripts/proxy/w3proxy.dll 500

　　Apache
　　10.22.1.80-[08/Oct/2002:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
　　10.22.1.80-[08/Oct/2002:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
　　10.22.1.80-[08/Oct/2002:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
　　10.22.1.80-[08/Oct/2002:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
　　10.22.1.80-[08/Oct/2002:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
　　10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
　　10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
　　10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
　　10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
　　10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
　　10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404

　　检查这种攻击

关键是看同

IP地址对cgi目录(IIS是scripts

Apache是cgi-bin)文件请求出现多个404状态

这时就要检查相应cgi目录里

安全性

　　5、远程攻击

　　下面我们以针对IIS

MDAC攻击为例

来了解远程攻击在log里

记录情况

MDAC漏洞使得攻击者可以在Web服务器端执行任何命令

　　17:48:49 10.22.1.80 GET /msadc/msadcs.dll 200
　　17:48:51 10.22.1.80 POST /msadc/msadcs.dll 200

　　当攻击发生后

在log会留下对msadcs.dll请求

记录

　　另

个有名

攻击是asp源代码泄漏

漏洞

当这种攻击发生时

log文件会有如下记录:

　　17:50:13 10.22.1.81 GET /default.asp+.htr 200

　　对于未授权访问

攻击记录

Apache log会显示:

　　[08/Oct/2002:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

　　6、整理总结

　　管理

个安全站点要求系统管理人员具备安全

常识和警惕性

从区别

渠道了解安全

知识不仅能对付已发生

攻击

还能对将会发生

攻击做到较好

防范

而通过Log文件来了解、防范攻击是很重要但又经常容易忽略

手段

　　IDS(入侵检测系统)能帮助你很多

但不能完全代替安全管理

仔细检查Log

IDS所遗漏

东西

就可能在这里发现

上

篇文章: 卡哆日记存在严重问题！

下

篇文章: Web环境下SQL注入攻击

检测和防御

标签：怎么攻击服务器如何攻击服务器攻击服务器黑客送服务器

下载文章的 PDF文档电子版离线看

我顶

专注于互联网--专注于架构

首页 »安全 » 黑客送服务器:如何通过Web服务器记录查找黑客攻击 »正文

黑客送服务器:如何通过Web服务器记录查找黑客攻击

相关文章

读者评论

发表评论

热门标签

精华推荐

最新标签

Dig排行

阅读排行

最新文章