根据Web服务器的记录来追踪黑客(转)

        有感触,转此文

  现今的网络,安全越来越受到大家的重视,在构建网络安全环境时,在技术手段,管理制度等方面都逐步加强,设置防火墙,安装入侵检测系统等等。但网络安全是个全方位的问题,忽略哪一点都会造成木桶效应,使得整个安全系统虚设。本文从分析Web服务器的logging记录来找出漏洞,防范攻击,从而加强Web服务器安全。

  Web服务是Internet所提供最多,最丰富的服务,各种Web服务器自然也是受到攻击最多的,我们采用了很多措施来防止遭受攻击和入侵,其中查看Web服务器的记录是最直接,最常用,又比较有效的一种方法,但logging记录很庞大,查看logging记录是很繁琐的事情,如果抓不住重点,攻击线索就容易被忽略。下面就对最流行的两类Web服务器:Apache和IIS做攻击的实验,然后在众多的记录中查到攻击的蛛丝马迹,从而采取适当的措施加强防范。

  1.默认的web记录

  对于IIS,其默认记录存放在c:\winnt\system32\logfiles\w3svc1,文件名就是当天的日期,记录格式是标准的W3C扩展记录格式,可以被各种记录分析工具解析,默认的格式包括时间、访问者IP地址、访问的方法(GET or POST…)、请求的资源、HTTP状态(用数字表示)等。对于其中的HTTP状态,我们知道200-299表明访问成功;300-399表明需要客户端反应来满足请求;400-499和500-599表明客户端和服务器出错;其中常用的如404表示资源没找到,403表示访问被禁止。

  Apache的默认记录存放在/usr/local/apache/logs,其中最有用的记录文件是access_log,其格式包括客户端IP、个人标示(一般为空)、用户名(如果需要认证)、访问方式(GET or POST…)、HTTP状态、传输的字节数等。

  2.收集信息

  我们模拟黑客攻击服务器的通常模式,先是收集信息,然后通过远程命令一步步实施入侵。我们使用的工具是netcat1.1 for windows,Web服务器ip为10.22.1.100,客户端IP为:10.22.1.80。

  C:>nc -n 10.22.1.100 80

  HEAD / HTTP/1.0

  HTTP/1.1 200 OK

  Server: Microsoft-IIS/4.0

  Date: Sun, 08 Oct 2002 14:31:00 GMT

  Content-Type: text/html

  Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

  Cache-control: private

  在IIS和Apache的log里显示如下:

  IIS: 15:08:44 10.22.1.80 HEAD /Default.asp 200

  Linux: 10.22.1.80- - [08/Oct/2002:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

  以上的活动看上去很正常,也不会对服务器产生任何影响,但这是通常攻击的前奏。

  3. Web站点镜像

  黑客经常镜像一个站点来帮助攻击服务器,常用来镜像的工具有Windows下的Teleport pro和Unix下的Wget。

  下面我们看使用这两个工具后在服务器记录里的信息:

  16:28:52 10.22.1.80 GET /Default.asp 200

  16:28:52 10.22.1.80 GET /robots.txt 404

  16:28:52 10.22.1.80 GET /header_protecting_your_privacy.gif 200

  16:28:52 10.22.1.80 GET /header_fec_reqs.gif 200

  16:28:55 10.22.1.80 GET /photo_contribs_sidebar.jpg 200

  16:28:55 10.22.1.80 GET /g2klogo_white_bgd.gif 200

  16:28:55 10.22.1.80 GET /header_contribute_on_line.gif 200

  16:49:01 10.22.1.81 GET /Default.asp 200

  16:49:01 10.22.1.81 GET /robots.txt 404

  16:49:01 10.22.1.81 GET /header_contribute_on_line.gif 200

  16:49:01 10.22.1.81 GET /g2klogo_white_bgd.gif 200

  16:49:01 10.22.1.81 GET /photo_contribs_sidebar.jpg 200

  16:49:01 10.22.1.81 GET /header_fec_reqs.gif 200

  16:49:01 10.22.1.81 GET /header_protecting_your_privacy.gif 200

  10.22.1.80是使用Wget的Unix客户端,10.22.1.81是使用Teleport pro的Windows客户端,都请求robots.txt文件,Robots.txt是请求没有被镜像的文件时所要用到的。所以看到有对robots.txt文件的请求,表明有镜像的企图。当然,在Wget和Teleport pro客户端,可以手工禁止对robots.txt文件的访问,这时,辨别方法可以看是否有从同一IP地址来的重复资源请求。

  4.漏洞扫描

  随着攻击的发展,我们可以用一些Web漏洞检查的软件,如Whisker,它可以检查已知晓的各种漏洞,如cgi程序导致的安全隐患等。下面是运行Whisker1.4的IIS和Apache的相关记录:

  IIS

  12:07:56 10.22.1.81 GET /SiteServer/Publishing/viewcode.asp 404

  12:07:56 10.22.1.81 GET /msadc/samples/adctest.asp 200

  12:07:56 10.22.1.81 GET /advworks/equipment/catalog_type.asp 404

  12:07:56 10.22.1.81 GET /iisadmpwd/aexp4b.htr 200

  12:07:56 10.22.1.81 HEAD /scripts/samples/details.idc 200

  12:07:56 10.22.1.81 GET /scripts/samples/details.idc 200

  12:07:56 10.22.1.81 HEAD /scripts/samples/ctguestb.idc 200

  12:07:56 10.22.1.81 GET /scripts/samples/ctguestb.idc 200

  12:07:56 10.22.1.81 HEAD /scripts/tools/newdsn.exe 404

  12:07:56 10.22.1.81 HEAD /msadc/msadcs.dll 200

  12:07:56 10.22.1.81 GET /scripts/iisadmin/bdir.htr 200

  12:07:56 10.22.1.81 HEAD /carbo.dll 404

  12:07:56 10.22.1.81 HEAD /scripts/proxy/ 403

  12:07:56 10.22.1.81 HEAD /scripts/proxy/w3proxy.dll 500

  12:07:56 10.22.1.81 GET /scripts/proxy/w3proxy.dll 500

  Apache

  10.22.1.80-[08/Oct/2002:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266

  10.22.1.80-[08/Oct/2002:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289

  10.22.1.80-[08/Oct/2002:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273

  10.22.1.80-[08/Oct/2002:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267

  10.22.1.80-[08/Oct/2002:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277

  10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0

  10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0

  10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0

  10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0

  10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0

  10.22.1.80-[08/Oct/2002:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404

  检查这种攻击的关键是看同一IP地址对cgi目录(IIS是scripts,Apache是cgi-bin)文件请求出现多个404状态。这时就要检查相应cgi目录里的程序安全性。

  5.远程攻击

  下面我们以针对IIS的MDAC攻击为例,来了解远程攻击在log里的记录情况。MDAC漏洞使得攻击者可以在Web服务器端执行任何命令。

  17:48:49 10.22.1.80 GET /msadc/msadcs.dll 200

  17:48:51 10.22.1.80 POST /msadc/msadcs.dll 200

  当攻击发生后,在log会留下对msadcs.dll请求的记录。

  另一个有名的攻击是asp源代码泄漏的漏洞,当这种攻击发生时,log文件会有如下记录:

  17:50:13 10.22.1.81 GET /default.asp+.htr 200

  对于未授权访问的攻击记录,Apache log会显示:

  [08/Oct/2002:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

  6.总结

  管理一个安全站点要求系统管理人员具备安全的常识和警惕性,从不同的渠道了解安全的知识不仅能对付已发生的攻击,还能对将会发生的攻击做到较好的防范。而通过Log文件来了解、防范攻击是很重要但又经常容易忽略的手段。

  IDS(入侵检测系统)能帮助你很多,但不能完全代替安全管理。仔细检查Log,IDS所遗漏的东西,就可能在这里发现。

 

转载于:https://www.cnblogs.com/enuosky/archive/2006/10/27/541539.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/424093.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

spring mvc学习(30):sessionatrribute存储session数据

创建maven项目就不说了&#xff0c;需要的找我前面的博客 pom.xml文件 <project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation"http://maven.apache.org/POM/4.0.0 http…

验证码

金讯教育有一节课讲的是验证码;代码如下&#xff1a; html: <label><input type"text" /><span id"yz" style" background:url(1.png) -10px -15px;width:80px;font-style: italic; height: 20px;border: 1px solid black;display: in…

C++ Builder 启动时不显示主窗体

在网络上看到不少说法&#xff0c;但标准的做法应该是这样的。首先&#xff0c;设置主窗体Visible属性为false;然后&#xff0c;在Application->Run之前&#xff0c;设置Application->ShowMainForm false; 即可转载于:https://www.cnblogs.com/rookieport/archive/2006/…

第九章 隐马尔科夫模型HMM

文章目录1 隐马尔科夫模型定义2 概率计算算法2.1 前向概率2.2 概率计算3 学习算法3.1 EM算法3.2EM在HMM4 预测算法1 隐马尔科夫模型定义 隐马尔科夫模型是一个seq2seq模型。例如词性标注。 时间序列t1t2t3状态序列代词动词名词观察序列我爱机器学习 能够看到的&#xff0c;例…

spring mvc学习(31):原生api

创建maven项目就不说了&#xff0c;需要的找我前面的博客 pom.xml文件 <project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation"http://maven.apache.org/POM/4.0.0 http…

如何使用设计模式来构造系统--(7)

(声明:本系列所用的模式都来自GOF23中&#xff0c;本系列并不是讲23种经典设计模式&#xff0c;而是如何去使用这些模式) 在前面的文章中,我们设计完成了员工工资,福利以及按照部门来区分员工,以及遍历统计部门人员成本等业务逻辑,这些设计基本上可以满足我们所设定的场景的…

程序员四大忌 你该如何避免呢?

< DOCTYPE html PUBLIC -WCDTD XHTML StrictEN httpwwwworgTRxhtmlDTDxhtml-strictdtd> 一忌&#xff1a;轻易言败&#xff0c;没有自信没有永不放弃精神的程序员&#xff0c;只是一个有程序员名号的假程序员。一个真正的程序员&#xff0c;知道在程序设计的过程中&#…

spring mvc学习(32):原生代码导入

第一种方法 1点击项目--右键---preferences(添加build path) 勾上 第二种方法 2配置pom.xml <dependency> <groupId>javax.servlet</groupId> <artifactId>servlet-api</artifactId> <version>2.5</…

深度学习03-CNN 应用

说明&#xff1a;本系列是七月算法深度学习课程的学习笔记 文章目录1 概述2 图片识别定位3 物体监测3.1 选择性搜索3.2 R-CNN3.3 Fast R-CNN3.4 Faster R-CNN4 语义分割4.1 滑窗处理4.2全卷积神经网络5 代码1 概述 CNN主要任务包含物体识别定位、物体识别、图像分割。 图片识…

管理信息系统数据库设计标准(草稿)

表名命名标准&#xff1a; 1.所有基础资料表&#xff0c;表名均由dic表名英文含义词构成。 2._Dictionary_Table是表名列表&#xff0c;例外。 字段命名标准&#xff1a; …

spring mvc学习(33):原生apiSpring MVC过滤器-HiddenHttpMethodFilter

浏览器form表单只支持GET与POST请求&#xff0c;而DELETE、PUT等method并不支持&#xff0c;spring3.0添加了一个过滤器&#xff0c;可以将这些请求转换为标准的http方法&#xff0c;使得支持GET、POST、PUT与DELETE请求&#xff0c;该过滤器为HiddenHttpMethodFilter。 Hidden…

【转帖】windows命令行中java和javac、javap使用详解(java编译命令)

windows命令行中java和javac、javap使用详解(java编译命令) 更新时间&#xff1a;2014年03月23日 11:53:15 作者&#xff1a; 我要评论 http://www.jb51.net/article/48380.htm学习一下java 最近重新复习了一下java基础&#xff0c;这里便讲讲对于一个类文件如何编译、运行…

第六课 从词向量到NLP分类问题

文章目录1 nlp的常见任务2 词向量表示2.1 离散表示2.2 分布式表示2.3 NNLM(2013年)2.3.1模型2.3.2特点2.4 Word2Vector&#xff1a;CBOW连续词袋2.4.1 样本处理2.4.2 结构2.4.3 CBOW&#xff1a;层次softmax2.4.4 CBOW&#xff1a;负例采样2.4.5 Word2Vec&#xff1a;skip-gram…

11-11 又是一年光棍节!

11月11日&#xff0c;光棍节&#xff0c;没有哪一天比这一天更形象、更贴切了。当光棍成了“光贵”&#xff0c;王老五也有了黄金级和钻石级之分的今天&#xff0c;“光棍节”自然而然地流行开来。“光棍”两个字&#xff0c;不仅不是大龄男女的忌讳&#xff0c;而且在很多人眼…

spring mvc学习(34):restful的delete

创建maven项目就不说了&#xff0c;需要的找我前面的博客 pom.xml文件 <project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation"http://maven.apache.org/POM/4.0.0 http…

热度3年猛增20倍,Serverless云开发的技术架构全解析

『 作为一个不断发展的新兴技术&#xff0c; Serverless 热度的制高点已然到来。』 或许&#xff0c;Google Trends 所显示的 3 年猛增 20 倍的“ Serverless ” 搜索量&#xff0c;可以佐证 Serverless 在整个行业中的火爆程度。 不仅如此&#xff0c;据 KBV 研究公司新发布的…

软件工程 工具之二—— PowerDesigner v12(六)

第十章 面向对象模型 8、定义部署图1&#xff09;部署图&#xff08;Deployment Diagram&#xff09;可用来描述系统硬件的物理拓扑结构&#xff0c;以及在此结构上运行的软件。部署图可以显示节点的拓扑结构、通信路径、节点上运行的组件实例。相比其它视图&#xff0c;部署图…

第七课 循环神经网络与自然语言处理

文章目录1 循环神经网络1.1 场景与多种应用1.2 RNN网络结构1.2.1为什么需要RNN1.2.2 RNN 结构1.3 多种RNN1.4 BPTT算法1.5 生成模型与图像描述2 LSTM2.1 LSTM2.2 GRU1 循环神经网络 1.1 场景与多种应用 1 模仿论文生成 2 模仿linux内核编写代码 3 模仿小四写论文 4 机器翻译 …

第十二题:设int x=1,float y=2,则表达式x/y的值是:

第十二题 设int x1,float y2,则表达式x/y的值是&#xff1a;&#xff08;&#xff09; A 0 B 1 C 2 D 以上都不是 懵逼树上懵逼果&#xff0c;懵逼树下你和我 首先看到这道题&#xff0c;我是懵逼和绝望的。 首先我们打开评论&#xff0c;看看谁的赞最多&#xff0c;拿…

Linux 安装 lanmp

Lanmp介绍 lanmp一键安装包是wdlinux官网2010年底开始推出的web应用环境的快速简易安装包. 执行一个脚本&#xff0c;整个环境就安装完成就可使用&#xff0c;快速,方便易用,安全稳定 lanmp一键安装包是用shell脚本编写,且是开源的,你也可以根据业务需求,做相应的调整,来安装自…