web服务器记录中查找黑客踪迹---黑客,web服务器-为中国网络技术提供点滴动力-iyit.net-易特网络技术！

　　通行证: 用户密码

域名空间　下载中心　 社区论坛　信息公告 my小屋

联系我们
设为首页
加入收藏

qq,asp,php,jsp,xml,sql,.net,编程程序网页图象建站经验私服




	当前位置：首页>>网络安全>>安全防范>>正文	新版上线！[旧版]

注:打开慢时请稍等

web服务器记录中查找黑客踪迹

http://www.iyit.net 日期：2006-5-29 14:15:59 来源：网络转载点击：

【参加讨论】现今的网络，安全越来越受到大家的重视，在构建网络安全环境时，在技术手段，管理制度等方面都逐步加强，设置防火墙，安装入侵检测系统等等。但网络安全是个全方位的问题，忽略哪一点都会造成木桶效应，使得整个安全系统虚设。本文从分析web服务器的logging记录来找出漏洞，防范攻击，从而加强web服务器安全。

　　web服务是internet所提供最多，最丰富的服务，各种web服务器自然也是受到攻击最多的，我们采用了很多措施来防止遭受攻击和入侵，其中查看web服务器的记录是最直接，最常用，又比较有效的一种方法，但logging记录很庞大，查看logging记录是很繁琐的事情，如果抓不住重点，攻击线索就容易被忽略。下面就对最流行的两类web服务器：apache和iis做攻击的实验，然后在众多的记录中查到攻击的蛛丝马迹，从而采取适当的措施加强防范。

　　1、默认的web记录

　　对于iis，其默认记录存放在c:winntsystem32logfilesw3svc1，文件名就是当天的日期，记录格式是标准的w3c扩展记录格式，可以被各种记录分析工具解析，默认的格式包括时间、访问者ip地址、访问的方法（get or post…）、请求的资源、http状态（用数字表示）等。对于其中的http状态，我们知道200－299表明访问成功；300－399表明需要客户端反应来满足请求；400－499和500－599表明客户端和服务器出错；其中常用的如404表示资源没找到，403表示访问被禁止。

　　apache的默认记录存放在/usr/local/apache/logs，其中最有用的记录文件是access_log，其格式包括客户端ip、个人标示（一般为空）、用户名（如果需要认证）、访问方式（get or post…）、http状态、传输的字节数等。

　　2、收集信息

　　我们模拟黑客攻击服务器的通常模式，先是收集信息，然后通过远程命令一步步实施入侵。我们使用的工具是netcat1.1 for windows，web服务器ip为10.22.1.100，客户端ip为：10.22.1.80。

　　c:>nc -n 10.22.1.100 80
　　head / http/1.0
　　http/1.1 200 ok
　　server: microsoft-iis/4.0
　　date: sun, 08 oct 2002 14:31:00 gmt
　　content-type: text/html
　　set-cookie: aspsessionidgqq qqqpa=ihojagjdecollgibnkmceeed; path=/
　　cache-control: private

　　在iis和apache的log里显示如下：

　　iis: 15:08:44 10.22.1.80 head /default.asp 200
　　linux: 10.22.1.80- - [08/oct/2002:15:56:39 -0700] "head / http/1.0" 200 0

　　以上的活动看上去很正常，也不会对服务器产生任何影响，但这是通常攻击的前奏。
　　3、web站点镜像

　　黑客经常镜像一个站点来帮助攻击服务器，常用来镜像的工具有windows下的teleport pro和unix下的wget。

　　下面我们看使用这两个工具后在服务器记录里的信息：

　　16:28:52 10.22.1.80 get /default.asp 200
　　16:28:52 10.22.1.80 get /robots.txt 404
　　16:28:52 10.22.1.80 get /header_protecting_your_privacy.gif 200
　　16:28:52 10.22.1.80 get /header_fec_reqs.gif 200
　　16:28:55 10.22.1.80 get /photo_contribs_sidebar.jpg 200
　　16:28:55 10.22.1.80 get /g2klogo_white_bgd.gif 200
　　16:28:55 10.22.1.80 get /header_contribute_on_line.gif 200
　　16:49:01 10.22.1.81 get /default.asp 200
　　16:49:01 10.22.1.81 get /robots.txt 404
　　16:49:01 10.22.1.81 get /header_contribute_on_line.gif 200
　　16:49:01 10.22.1.81 get /g2klogo_white_bgd.gif 200
　　16:49:01 10.22.1.81 get /photo_contribs_sidebar.jpg 200
　　16:49:01 10.22.1.81 get /header_fec_reqs.gif 200
　　16:49:01 10.22.1.81 get /header_protecting_your_privacy.gif 200

　　10.22.1.80是使用wget的unix客户端，10.22.1.81是使用teleport pro的windows客户端，都请求robots.txt文件，robots.txt是请求没有被镜像的文件时所要用到的。所以看到有对robots.txt文件的请求，表明有镜像的企图。当然，在wget和teleport pro客户端，可以手工禁止对robots.txt文件的访问，这时，辨别方法可以看是否有从同一ip地址来的重复资源请求。

　　4、漏洞扫描

　　随着攻击的发展，我们可以用一些web漏洞检查的软件，如 whisker，它可以检查已知晓的各种漏洞，如cgi程序导致的安全隐患等。下面是运行whisker1.4的iis和apache的相关记录：

　　iis
　　12:07:56 10.22.1.81 get /siteserver/publishing/viewcode.asp 404
　　12:07:56 10.22.1.81 get /msadc/samples/adctest.asp 200
　　12:07:56 10.22.1.81 get /advworks/equipment/catalog_type.asp 404
　　12:07:56 10.22.1.81 get /iisadmpwd/aexp4b.htr 200
　　12:07:56 10.22.1.81 head /scripts/samples/details.idc 200
　　12:07:56 10.22.1.81 get /scripts/samples/details.idc 200
　　12:07:56 10.22.1.81 head /scripts/samples/ctguestb.idc 200
　　12:07:56 10.22.1.81 get /scripts/samples/ctguestb.idc 200
　　12:07:56 10.22.1.81 head /scripts/tools/newdsn.exe 404
　　12:07:56 10.22.1.81 head /msadc/msadcs.dll 200
　　12:07:56 10.22.1.81 get /scripts/iisadmin/bdir.htr 200
　　12:07:56 10.22.1.81 head /carbo.dll 404
　　12:07:56 10.22.1.81 head /scripts/proxy/ 403
　　12:07:56 10.22.1.81 head /scripts/proxy/w3proxy.dll 500
　　12:07:56 10.22.1.81 get /scripts/proxy/w3proxy.dll 500

　　apache
　　10.22.1.80-[08/oct/2002:12:57:28 -0700] "get /cfcache.map http/1.0" 404 266
　　10.22.1.80-[08/oct/2002:12:57:28 -0700] "get /cfide/administrator/startstop.html http/1.0" 404 289
　　10.22.1.80-[08/oct/2002:12:57:28 -0700] "get /cfappman/index.cfm http/1.0" 404 273
　　10.22.1.80-[08/oct/2002:12:57:28 -0700] "get /cgi-bin/ http/1.0" 403 267
　　10.22.1.80-[08/oct/2002:12:57:29 -0700] "get /cgi-bin/dbmlparser.exe http/1.0" 404 277
　　10.22.1.80-[08/oct/2002:12:57:29 -0700] "head /_vti_inf.html http/1.0" 404 0
　　10.22.1.80-[08/oct/2002:12:57:29 -0700] "head /_vti_pvt/ http/1.0" 404 0
　　10.22.1.80-[08/oct/2002:12:57:29 -0700] "head /cgi-bin/webdist.cgi http/1.0" 404 0
　　10.22.1.80-[08/oct/2002:12:57:29 -0700] "head /cgi-bin/handler http/1.0" 404 0
　　10.22.1.80-[08/oct/2002:12:57:29 -0700] "head /cgi-bin/wrap http/1.0" 404 0
　　10.22.1.80-[08/oct/2002:12:57:29 -0700] "head /cgi-bin/pfdisplay.cgi http/1.0" 404
　　检查这种攻击的关键是看同一ip地址对cgi目录（iis是scripts，apache是cgi-bin）文件请求出现多个404状态。这时就要检查相应cgi目录里的程序安全性。

　　5、远程攻击

　　下面我们以针对iis的mdac攻击为例，来了解远程攻击在log里的记录情况。mdac漏洞使得攻击者可以在web服务器端执行任何命令。

　　17:48:49 10.22.1.80 get /msadc/msadcs.dll 200
　　17:48:51 10.22.1.80 post /msadc/msadcs.dll 200

　　当攻击发生后，在log会留下对msadcs.dll请求的记录。

　　另一个有名的攻击是asp源代码泄漏的漏洞，当这种攻击发生时，log文件会有如下记录：

　　17:50:13 10.22.1.81 get /default.asp+.htr 200

　　对于未授权访问的攻击记录，apache log会显示：

　　[08/oct/2002:18:58:29 -0700] "get /private/ http/1.0" 401 462

　　6、总结

　　管理一个安全站点要求系统管理人员具备安全的常识和警惕性，从不同的渠道了解安全的知识不仅能对付已发生的攻击，还能对将会发生的攻击做到较好的防范。而通过log文件来了解、防范攻击是很重要但又经常容易忽略的手段。

　　ids（入侵检测系统）能帮助你很多，但不能完全代替安全管理。仔细检查log，ids所遗漏的东西，就可能在这里发现。

编辑：黑鹰　[发送给好友] [打印本页] [关闭窗口] [返回顶部]
上一篇：编辑web.config，保证asp.net的安全
下一篇：网管员在日志分析中的五个误区
转载请注明来源：www.iyit.net
特别声明： 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。

　相关文章

web服务器的安全和攻击防范 (五)	web服务器的安全和攻击防范 (四）	web服务器的安全和攻击防范 (三)
使用反向代理技术保护web服务器	使用反向代理技术保护web服务器	从服务器的记录寻找黑客的蛛丝马迹
黑客入侵pc常用手段及应对措施	保护服务器的端口让黑客也没办法(6)	保护服务器的端口让黑客也没办法(5)
保护服务器的端口让黑客也没办法(4)	保护服务器的端口让黑客也没办法(3)	保护服务器的端口让黑客也没办法(2)
保护服务器的端口让黑客也没办法（1）	道高一尺魔高一丈打造黑客也读不懂的	有黑客？十大高招让你摆脱黑客攻击
妙用windows磁盘配额让黑客无从下手	黑客可以利用的5款远程控制软件测试	sniffer、黑客和网络管理
sniffer－黑客们最常用的入侵手段	linux环境下黑客常用嗅探器分析	sniffer黑客教程
网络流行黑客软件简介	黑客技术揭秘：三招确定www服务类型	asp网站漏洞解析及黑客入侵防范方法