快捷搜索:

根据Web服务器记录来追击黑客

现今的收集,安然越来越受到大年夜家的注重,在构建收集安然情况时,在技巧手段,治理轨制等方面都慢慢加强,设置防火墙,安装入侵检测系统等等。但收集安然是个全方位的问题,轻忽哪一点都邑造成木桶效应,使得全部安然系统虚设。本文从阐发Web办事器的logging记录来找出漏洞,警备进击,从而加强Web办事器安然。

Web办事是Internet所供给最多,最富厚的办事,各类Web办事器自然也是受到进击最多的,我们采纳了很多步伐来防止遭受进击和入侵,此中查看Web办事器的记录是最直接,最常用,又对照有效的一种措施,但logging记录很宏大年夜,查看logging记录是很繁琐的工作,假如抓不住重点,进击线索就轻易被轻忽。下面就对最盛行的两类Web办事器:Apache和IIS做进击的实验,然后在浩繁的记录中查到进击的蛛丝马迹,从而采取适当的步伐加强警备。

1.默认的web记录

对付IIS,其默认记录寄放在c:\\winnt\\system32\\logfiles\\w3svc1,文件名便是当天的日期,记录款式是标准的W3C扩展记录款式,可以被各类记录阐发对象解析,默认的款式包括光阴、造访者IP地址、造访的措施(GET or POST…)、哀求的资本、HTTP状态(用数字表示)等。对付此中的HTTP状态,我们知道200-299注解造访成功;300-399注解必要客户端反映来满意哀求;400-499和500-599注解客户端和办事器掉足;此中常用的如404表示资本没找到,403表示造访被禁止。

Apache的默认记录寄放在/usr/local/apache/logs,此中最有用的记录文件是access_log,其款式包括客户端IP、小我标示(一样平常为空)、用户名(假如必要认证)、造访要领(GET or POST…)、HTTP状态、传输的字节数等。

2.网络信息

我们模拟黑客进击办事器的平日模式,先是网络信息,然后经由过程远程敕令一步步实施入侵。我们应用的对象是netcat1.1 for windows,Web办事器ip为10.22.1.100,客户端IP为:10.22.1.80。

C:>nc -n 10.22.1.100 80

HEAD / HTTP/1.0

HTTP/1.1 200 OK

Server: Microsoft-IIS/4.0

Date: Sun, 08 Oct 2002 14:31:00 GMT

Content-Type: text/html

Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

Cache-control: private

在IIS和Apache的log里显示如下:

IIS: 15:08:44 10.22.1.80 HEAD /Default.asp 200

Linux: 10.22.1.80- - [08/Oct/2002:15:56:39 -0700] \"HEAD / HTTP/1.0\" 200 0

以上的活动看上去很正常,也不会对办事器孕育发生任何影响,但这是平日进击的前奏。

3. Web站点镜像

黑客常常镜像一个站点来赞助进击办事器,常用来镜像的对象有Windows下的Teleport pro和Unix下的Wget。

下面我们看应用这两个对象后在办事器记录里的信息:

16:28:52 10.22.1.80 GET /Default.asp 200

16:28:52 10.22.1.80 GET /robots.txt 404

16:28:52 10.22.1.80 GET /header_protecting_your_privacy.gif 200

16:28:52 10.22.1.80 GET /header_fec_reqs.gif 200

16:28:55 10.22.1.80 GET /photo_contribs_sidebar.jpg 200

16:28:55 10.22.1.80 GET /g2klogo_white_bgd.gif 200

16:28:55 10.22.1.80 GET /header_contribute_on_line.gif 200

16:49:01 10.22.1.81 GET /Default.asp 200

16:49:01 10.22.1.81 GET /robots.txt 404

16:49:01 10.22.1.81 GET /header_contribute_on_line.gif 200

16:49:01 10.22.1.81 GET /g2klogo_white_bgd.gif 200

16:49:01 10.22.1.81 GET /photo_contribs_sidebar.jpg 200

16:49:01 10.22.1.81 GET /header_fec_reqs.gif 200

16:49:01 10.22.1.81 GET /header_protecting_your_privacy.gif 200

10.22.1.80是应用Wget的Unix客户端,10.22.1.81是应用Teleport pro的Windows客户端,都哀求robots.txt文件,Robots.txt是哀求没有被镜像的文件时所要用到的。以是看到有对robots.txt文件的哀求,注解有镜像的妄图。当然,在Wget和Teleport pro客户端,可以手工禁止对robots.txt文件的造访,这时,辨别措施可以看是否有从同一IP地址来的重复资本哀求。

4.破绽扫描

跟着进击的成长,我们可以用一些Web破绽反省的软件,如Whisker,它可以反省已知晓的各类破绽,如cgi法度榜样导致的安然隐患等。下面是运行Whisker1.4的IIS和Apache的相关记录:

IIS

12:07:56 10.22.1.81 GET /SiteServer/Publishing/viewcode.asp 404

12:07:56 10.22.1.81 GET /msadc/samples/adctest.asp 200

12:07:56 10.22.1.81 GET /advworks/equipment/catalog_type.asp 404

12:07:56 10.22.1.81 GET /iisadmpwd/aexp4b.htr 200

12:07:56 10.22.1.81 HEAD /scripts/samples/details.idc 200

12:07:56 10.22.1.81 GET /scripts/samples/details.idc 200

12:07:56 10.22.1.81 HEAD /scripts/samples/ctguestb.idc 200

12:07:56 10.22.1.81 GET /scripts/samples/ctguestb.idc 200

12:07:56 10.22.1.81 HEAD /scripts/tools/newdsn.exe 404

12:07:56 10.22.1.81 HEAD /msadc/msadcs.dll 200

12:07:56 10.22.1.81 GET /scripts/iisadmin/bdir.htr 200

12:07:56 10.22.1.81 HEAD /carbo.dll 404

12:07:56 10.22.1.81 HEAD /scripts/proxy/ 403

12:07:56 10.22.1.81 HEAD /scripts/proxy/w3proxy.dll 500

12:07:56 10.22.1.81 GET /scripts/proxy/w3proxy.dll 500

Apache

10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfcache.map HTTP/1.0\" 404 266

10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfide/Administrator/startstop.html HTTP/1.0\" 404 289

10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfappman/index.cfm HTTP/1.0\" 404 273

10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cgi-bin/ HTTP/1.0\" 403 267

10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"GET /cgi-bin/dbmlparser.exe HTTP/1.0\" 404 277

10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /_vti_inf.html HTTP/1.0\" 404 0

10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /_vti_pvt/ HTTP/1.0\" 404 0

10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /cgi-bin/webdist.cgi HTTP/1.0\" 404 0

10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /cgi-bin/handler HTTP/1.0\" 404 0

10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /cgi-bin/wrap HTTP/1.0\" 404 0

10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0\" 404

反省这种进击的关键是看同一IP地址对cgi目录(IIS是scripts,Apache是cgi-bin)文件哀求呈现多个404状态。这时就要反省响应cgi目录里的法度榜样安然性。

5.远程进击

下面我们以针对IIS的MDAC进击为例,来懂得远程进击在log里的记录环境。MDAC破绽使得进击者可以在Web办事器端履行任何敕令。

17:48:49 10.22.1.80 GET /msadc/msadcs.dll 200

17:48:51 10.22.1.80 POST /msadc/msadcs.dll 200

当进击发生后,在log会留下对msadcs.dll哀求的记录。

另一个着名的进击是asp源代码透露的破绽,当这种进击发生时,log文件会有如下记录:

17:50:13 10.22.1.81 GET /default.asp+.htr 200

对付未授权造访的进击记录,Apache log会显示:

[08/Oct/2002:18:58:29 -0700] \"GET /private/ HTTP/1.0\" 401 462

6.总结

治理一个安然站点要求系统治理职员具备安然的知识和鉴戒性,从不合的渠道懂得安然的常识不仅能对于已发生的进击,还能对将会发生的进击做到较好的警备。而经由过程Log文件来懂得、警备进击是很紧张但又常常轻易轻忽的手段。

IDS(入侵检测系统)能赞助你很多,但不能完全代替安然治理。仔细反省Log,IDS所漏掉的器械,就可能在这里发明。

您可能还会对下面的文章感兴趣: