找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 816|回复: 1

通过日志追查骇客

[复制链接]
发表于 2004-7-8 17:52:50 | 显示全部楼层 |阅读模式
通过日志追查骇客

  查看Web服务器记录是最直接、最常用、又比较有效的一种防范骇客(恶意黑客的称呼)的方法,但Web Log很庞大,查看起来很麻烦,如果抓不住重点,攻击线索十分容易就被忽略。下面对最流行的两类Web服务器Apache和IIS做攻击性实验,然后教大家如何在众多的Log中查到攻击者的蛛丝马迹。

  1.默认的Web记录
  对于IIS,其默认记录存放在C:\\Winnt\\System32\\Logfiles\\w3svc1目录中。文件名是当天的日期,记录格式采用标准的W3C扩展记录格式,可以被各种记录分析工具分析。默认的格式包括时间、访问者IP地址、访问的方法(Get or Post...)等,其中最常用的如404代码表示资源没找到,403代码表示访问被禁止。

  Apache的默认记录存放在/usr/local/apache/logs下,其中最有用的记录文件是Access.log,其内容包括客户端IP、个人标志(一般为空)、用户名(如果需要认证)等。

  2.收集信息
  我们模拟骇客攻击服务器的通常模式,先是收集信息,然后通过远程命令一步步实施入侵。这里使用的工具是Netcat1.1 for Windows,Web服务器IP为10.22.1.100,客户端IP为10.22.1.80。首先在命令行模式下输入“nc -n 10.22.1.100 80”。在IIS和Apache的log里显示如下:

  ⅡS: 15:08:44 10.22.1.80 HEAD /Default.asp 200

  Apache:10.22.1.80- - [08/Oct/2002:15:56:39 -0700] \"HEAD / HTTP/1.0\" 200 0

  以上的活动看上去很正常,不会对服务器产生任何影响,但这往往是攻击的前奏。

  3.Web站点镜像
  骇客经常镜像一个站点(也就是俗称的“肉机”)来协助攻击服务器,常用来镜像的工具有Windows下的Teleport Pro和UNIX下的Wget。

  下面我们看看使用这两个工具后在服务器上留下的记录:

  16:28:52 10.22.1.80 GET /Default.asp 200

  16:28:52 10.22.1.80 GET /robots.txt 404

  16:28:52 10.22.1.80 GET /header_protecting_your_privacy.gif 200

  16:28:52 10.22.1.80 GET /header_fec_reqs.gif 200

  ......

  10.22.1.80是使用Wget的UNIX客户端,10.22.1.81是使用Teleport Pro的Windows客户端,它们都请求Robots.txt文件。Robots.txt是请求没有被镜像的文件时所要用到的,所以看到有对Robots.txt文件的请求,就表明有镜像的企图。当然,在Wget和Teleport Pro客户端,可以手工禁止对Robots.txt文件的访问。辨别方法可以看是否有同一IP地址发过来的重复请求。

  4.漏洞扫描
  随着攻击的发展,我们可以使用一些检查Web漏洞的软件,如Whisker。它们可以检查已知的各种漏洞,如CGI程序导致的安全隐患等。下面是运行Whisker1.4后,在的IIS和Apache里留下的相关记录:

  ⅡS

  12:07:56 10.22.1.81 GET /SiteServer/Publishing/viewcode.asp 404

  12:07:56 10.22.1.81 GET /msadc/samples/adctest.asp 200

  ......

  Apache

  10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfcache.map HTTP/1.0\" 404 266

  10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfide/Administrator/startstop.html HTTP/1.0\" 404 289

  ......

  检查这种恶意扫描的关键是看同一IP地址对CGI目录(ⅡS是scripts,Apache是cgi-bin)文件请求是否出现多个404代码。

  5.远程攻击
  下面我们以针对ⅡS的MDAC攻击为例,来了解远程攻击在Log里的记录情况。MDAC漏洞会让攻击者可以在Web服务器端执行任何命令。

  当攻击发生后,在Log中会留下对msadcs.dll请求的记录:

  17:48:49 10.22.1.80 GET /msadc/msadcs.dll 200

  17:48:51 10.22.1.80 POST /msadc/Msadcs.dll 200

  另一个有名的攻击是ASP源代码泄漏的漏洞,当这种攻击发生时,Log文件也会有如下记录:

  17:50:13 10.22.1.81 GET /default.asp+.htr 200

  对于未授权访问的攻击记录,Apache log则会显示:

  [08/Oct/2002:18:58:29 -0700] \"GET /private/ HTTP/1.0\" 401 462

  6.总结
  管理一个安全站点要求系统管理人员具备安全的常识和警惕性。从不同的渠道了解安全的知识不仅能对付已发生的攻击,而且还能对将会发生的攻击提前做好防范。通过Log文件来了解防范攻击是很重要的,但又经常容易被忽略。
回复

使用道具 举报

发表于 2004-7-12 08:54:09 | 显示全部楼层
grdfxhgjhgytuiyret
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-12-23 08:06 , Processed in 0.170723 second(s), 6 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表