概述

　　当服务器被攻击时，最容易被人忽略的地方，就是记录文件，服务器的记录文件了黑客活动的蛛丝马迹。在这里，我为大家介绍一下两种常见的网页服务器中最重要的记录文件，分析服务器遭到攻击后，黑客在记录文件中留下什么记录。

　　目前最常见的网页服务器有两种：apache和微软的internet information server （简称iis）。这两种服务器都有一般版本和ssl认证版本，方便黑客对加密和未加密的服务器进行攻击。

　　iis的预设记录文件地址在 c:\winnt\system32\logfiles\w3svc1的目录下，文件名是当天的日期，如yymmdd.log。系统会每天产生新的记录文件。预设的格式是w3c延伸记录文件格式（w3c extended log file format），很多相关软件都可以解译、分析这种格式的档案。记录文件在预设的状况下会记录时间、客户端ip地址、method（get、post等）、uri stem（要求的资源）、和http状态（数字状态代码）。这些字段大部分都一看就懂，可是http状态就需要解读了。一般而言，如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求。300到399代表必须由客户端采取动作才能满足所提出的要求。400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个，一个是404，代表客户端要求的资源不在服务器上，403代表的是所要求的资源拒绝服务。apache记录文件的预设储存位置在/usr/local/apache/logs。最有价值的记录文件是access_log，不过 ssl_request_log和ssl_engine_log也能提供有用的资料。 access_log记录文件有七个字段，包括客户端ip地址、特殊人物识别符、用户名称、日期、method resource protocol（get、post等；要求哪些资源；然后是协议的版本）、http状态、还有传输的字节。

　　我在这里所用的是与黑客用的相似的模拟攻击网站方式和工具。（注意：在本文中所介绍的方法请大家不要试用，请大家自觉遵守网络准则！）

　　分析过程

　　网页服务器版本是很重要的信息，黑客一般先向网页服务器提出要求，让服务器送回本身的版本信息。只要把「head / http/1.0」这个字符串用常见的netcat utility（相关资料网址：http://www.l0pht.com/~weld/netcat/）和openssl binary（相关资料网址：http://www.openssl.org/）送到开放服务器的通讯端口就成了。注意看下面的示范：

c:>nc -n 10.0.2.55 80
head / http/1.0
http/1.1 200 ok
server: microsoft-iis/4.0
date: sun, 08 mar 2001 14:31:00 gmt
content-type: text/html
set-cookie: aspsessionidgqqqqqpa=ihojagjdecollgibnkmceeed; path=/
cache-control: private

　　这种形式的要求在iis和apache的记录文件中会生成以下记录：

iis: 15:08:44 11.1.2.80 head /default.asp 200
linux: 11.1.2.80 - - [08/mar/2001:15:56:39 -0700] "head / http/1.0" 200 0

　　虽然这类要求合法，看似很平常，不过却常常是网络攻击的前奏曲。access_log和iis的记录文件没有表明这个要求是连到ssl服务器还是一般的网页服务器，可是apache的 ssl_request_log和ssl_engine_log（在/usr/local/apache/logs目录下）这两个记录文件就会记录是否有联机到ssl服务器。请看以下的ssl_request_log记录文件：

[07/mar/2001:15:32:52 -0700] 11.1.1.50 sslv3 edh-rsa-des-cbc3-sha "head / http/1.0" 0

　　第三和第四个字段表示客户端使用的是哪种加密方式。以下的ssl_request_log分别记录从openssl、 internet explorer和netscape客户端程序发出的要求。

[07/mar/2001:15:48:26 -0700] 11.1.1.50 sslv3 edh-rsa-des-cbc3-sha "get / http/1.0" 2692
[07/mar/2001:15:52:51 -0700] 10.0.2.55 tlsv1 rc4-md5 "get / http/1.1" 2692
[07/mar/2001:15:54:46 -0700] 11.1.1.50 sslv3 exp-rc4-md5 "get / http/1.0" 2692
[07/mar/2001:15:55:34 ╟0700] 11.1.2.80 sslv3 rc4-md5 “get / http/1.0” 2692

另外黑客通常会复制一个网站（也就是所谓的镜射网站。），来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的teleport pro（网址：http://www.tenmax.com/teleport/pro/home.htm）和unix系统的wget（网址：http://www.gnu.org/manual/wget/）。在这里我为大家分析wget和teleportpro这两个软件攻击网页服务器后记录文件中的内容。这两个软件能全面快速搜寻整个网站，对所有公开的网页提出要求。只要检查一下记录文件就知道，要解译镜射这个动作是很简单的事。以下是iis的记录文件：

16:28:52 11.1.2.80 get /default.asp 200
16:28:52 11.1.2.80 get /robots.txt 404
16:28:52 11.1.2.80 get /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 get /header_fec_reqs.gif 200
16:28:55 11.1.2.80 get /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 get /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 get /header_contribute_on_line.gif 200

注：11.1.2.80这个主机是unix系统的客户端，是用wget软件发出请求。

16:49:01 11.1.1.50 get /default.asp 200
16:49:01 11.1.1.50 get /robots.txt 404
16:49:01 11.1.1.50 get /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 get /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 get /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 get /header_fec_reqs.gif 200
16:49:01 11.1.1.50 get /header_protecting_your_privacy.gif 200

注：11.1.1.50系统是窗口环境的客户端，用的是teleportpro发出请求。

　　注意：以上两个主机都要求robots.txt这个档，其实这个档案是网页管理员的工具，作用是防止wget和teleportpro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出robots.txt档的要求，常常代表是要镜射整个网站。但，teleportpro和wget这两个软件都可以把要求robots.txt这个文件的功能取消。另一个侦测镜射动作的方式，是看看有没有同一个客户端ip反复提出资源要求。

黑客还可以用网页漏洞稽核软件：whisker（网址：http://www.wiretrip.net/），来侦查网页服务器有没有安全后门（主要是检查有没有cgi-bin程序，这种程序会让系统产生安全漏洞）。以下是iis和apache网页服务器在执行whisker后产生的部分记录文件。

iis：
13:17:56 11.1.1.50 get /siteserver/publishing/viewcode.asp 404
13:17:56 11.1.1.50 get /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 get /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 get /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 head /scripts/samples/details.idc 200
13:17:56 11.1.1.50 get /scripts/samples/details.idc 200
13:17:56 11.1.1.50 head /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 get /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 head /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 head /msadc/msadcs.dll 200
13:17:56 11.1.1.50 get /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 head /carbo.dll 404
13:17:56 11.1.1.50 head /scripts/proxy/ 403
13:17:56 11.1.1.50 head /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 get /scripts/proxy/w3proxy.dll 500

apache：
11.1.1.50 - - [08/mar/2001:12:57:28 -0700] "get /cfcache.map http/1.0" 404 266
11.1.1.50 - - [08/mar/2001:12:57:28 -0700] "get /cfide/administrator/startstop.html http/1.0" 404 289
11.1.1.50 - - [08/mar/2001:12:57:28 -0700] "get /cfappman/index.cfm http/1.0" 404 273
11.1.1.50 - - [08/mar/2001:12:57:28 -0700] "get /cgi-bin/ http/1.0" 403 267
11.1.1.50 - - [08/mar/2001:12:57:29 -0700] "get /cgi-bin/dbmlparser.exe http/1.0" 404 277
11.1.1.50 - - [08/mar/2001:12:57:29 -0700] "head /_vti_inf.html http/1.0" 404 0
11.1.1.50 - - [08/mar/2001:12:57:29 -0700] "head /_vti_pvt/ http/1.0" 404 0
11.1.1.50 - - [08/mar/2001:12:57:29 -0700] "head /cgi-bin/webdist.cgi http/1.0" 404 0
11.1.1.50 - - [08/mar/2001:12:57:29 -0700] "head /cgi-bin/handler http/1.0" 404 0
11.1.1.50 - - [08/mar/2001:12:57:29 -0700] "head /cgi-bin/wrap http/1.0" 404 0
11.1.1.50 - - [08/mar/2001:12:57:29 -0700] "head /cgi-bin/pfdisplay.cgi http/1.0" 404 0

　　大家要侦测这类攻击的关键，就在于从单一ip地址发出大量的404 http状态代码。只要注意到这类信息，就可以分析对方要求的资源；于是它们就会拼命要求提供 cgi-bin scripts（apache 服务器的 cgi-bin 目录；iis服务器的 scripts目录）。

　　小结

　　网页如果被人探访过，总会在记录文件留下什么线索。如果网页管理员警觉性够高，应该会把分析记录文件作为追查线索，并且在检查后发现网站真的有漏洞时，就能预测会有黑客攻击网站。

　　接下来我要向大家示范两种常见的网页服务器攻击方式，分析服务器在受到攻击后黑客在记录文件中痕迹。

　　（1）mdac攻击

　　mdac攻击法可以让网页的客户端在iis网页服务器上执行命令。如果有人开始攻击iis服务器，记录文件就会记下客户端曾经呼叫msadcs.dll文档：

17:48:49 12.1.2.8 get /msadc/msadcs.dll 200
17:48:51 12.1.2.8 post /msadc/msadcs.dll 200

　　（2）利用原始码漏洞

　　第二种攻击方式也很普遍，就是会影响asp和java网页的暴露原始码漏洞。 最晚被发现的安全漏洞是 +.htr 臭虫，这个bug会显示asp原始码。 如果有人利用这个漏洞攻击，就会在iis的记录文件里面留下这些线索：

17:50:13 11.1.2.80 get /default.asp+.htr 200

　　网页常会只让有权限的使用者进入。接下来我们要让各位看 apache的access_log记录文件会在登录失败时留下什么线索：

12.1.2.8 - user [08/mar/2001:18:58:29 -0700] "get /private/ http/1.0" 401 462

注：第三栏里面的使用者名称是「user」。还有要注意http的状态代号是401，代表非法存取。