IIS&Apache 攻击记录分析篇_win服务器

在这里,我为大家介绍一下两种常见的网页服务器中最重要的记录文件,分析服务器遭到攻击后,黑客在记录文件中会留下什么记录。目前最常见的网页服务器有两种:Apache和微软的Internet Information Server(简称IIS),这两种服务器都有一般版本和SSL认证版本。本文将使用和现实黑客的攻击手段类似的攻击方法去测试服务器并分析相关文件,有条件的朋友可在自己的机器上测试。
IIS的预设记录文件地址在C:\winnt\system32\logfiles\w3svc1目录下,文件名是当天的日期,如yymmdd.log,系统会每天产生新的记录文件。预设的格式是W3C延伸记录文件格式(W3C Extended Log File Format),很多相关软件都可以分析这种格式的档案。记录文件在预设的状况下会记录时间、客户端IP地址、Method(GET、POST等)、URI stem(要求的资源)和HTTP状态(数字状态代码)。这些字段大部分都一看就懂,只是HTTP状态需要有大概的了解。

小知识:一般而言,如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求;300到399代表必须由客户端采取动作才能满足所提出的要求;400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个,一个是404,代表客户端要求的资源不在服务器上,403代表的是所要求的资源拒绝服务。

Apache记录文件的预设储存位置在/usr/local/apache/logs,最有价值的记录文件是Access_log,不过 SSL_request_log和SSL_engine_log也能提供有用的资料。 Access_log记录文件有七个字段,包括客户端IP地址、特殊人物识别符、用户名称、日期、Method Resource Protocol(GET、POST等;要求哪些资源;协议版本)、HTTP状态、还有传输的字节。

常规探测手段的记录分析
网页服务器版本是很重要的信息,黑客一般先向网页服务器提出要求,让服务器送回本身的版本信息:只要把「HEAD / HTTP/1.0」这个字符串用常见的Netcat utility(相关资料网址http://www.l0pht.com/~weld/netcat/)和OpenSSL binary(相关资料网址http://www.openssl.org/)送到开放服务器的通讯端口就成了。注意看下面的示范:

C:>nc -n 10.0.2.55 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Mar 2004 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private

  这种形式的要求在IIS和Apache的记录文件中会生成以下记录:

IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200
Linux: 11.1.2.80 - - [08/Mar/2004:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

  虽然这类要求合法,看似很平常,不过却常常是网络攻击的前奏曲。Access_log和IIS的记录文件没有表明这个要求是连到SSL服务器还是一般的网页服务器,可是Apache的 SSL_request_log和SSL_engine_log(在/usr/local/apache/logs目录下)记录文件就会记录是否有联机到SSL服务器。请看以下的SSL_request_log记录文件:

[07/Mar/2004:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0

  第三和第四个字段表示客户端使用的是哪种加密方式,以下的SSL_request_log分别记录从OpenSSL、Internet Explorer和Netscape客户端程序发出的要求:
[07/Mar/2004:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2004:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2004:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2004:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
     另外黑客通常会复制目标网站,也就是所谓的镜射网站,用它来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport Pro(网址http://www.tenmax.com/teleport/pro/home.htm)和Unix系统的Wget(网址http://www.gnu.org/manual/wget/)。在这里我为大家分析Wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容:这两个软件能全面快速搜寻整个网站,对所有公开的网页提出要求。只要检查一下记录文件就知道,要知道这是镜射这个动作是很简单的事。以下是IIS的记录文件:

16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

这里的11.1.2.80这个主机是Unix系统的客户端,是用Wget软件发出请求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
这里的11.1.1.50系统是窗口环境的客户端,用的是TeleportPro发出的请求。

  小提示:以上两个主机都要求Robots.txt这个文档,其实这个档案是网页管理员的工具,作用是防止Wget和TeleportPro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出Robots.txt档的要求,常常代表是要镜射整个网站。但TeleportPro和Wget这两个软件都可以把要求Robots.txt这个文件的功能取消。

黑客还可以用网页漏洞稽核软件Whisker(网址http://www.wiretrip.net/)来侦查网页服务器有没有安全后门。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件:

IIS:
13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404
13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200
13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200
13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 HEAD /carbo.dll 404
13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403
13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500

Apache:
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0

  大家要侦测这类攻击的关键就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息,就可以分析对方要求的资源,于是它们就会拼命要求提供Cgi-bin scripts(Apache服务器的cgi-bin目录;IIS服务器的Scripts目录)。

  网页如果被人探访过,总会在记录文件留下什么线索。如果网页管理员警觉性够高,应该会把分析记录文件作为追查线索,并且在检查后发现网站真的有漏洞时,就能预测会有黑客攻击网站。

直接攻击及记录分析
  接下来我要向大家示范两种常见的网页服务器攻击方式,分析服务器在受到攻击后黑客在记录文件中痕迹。

1.MDAC攻击

  MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器,记录文件就会记下客户端曾经呼叫Msadcs.dll文档:

17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200

2.利用原始码漏洞

  第二种攻击方式也很普遍,就是会影响ASP和Java网页的暴露原始码漏洞。古老的安全漏洞是+.htr臭虫,这个BUG会显示ASP原始码。如果有人利用这个漏洞攻击,就会在IIS的记录文件里面留下这些线索:

17:50:13 11.1.2.80 GET /default.asp+.htr 200

3.权限问题
  网页常会只让有权限的使用者进入,接下来我们要让各位看 Apache的Access_log记录文件会在登录失败时留下什么线索:

12.1.2.8 - user [08/Mar/2004:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401,代表非法存取。

Apache和IIS的类比和相关的攻击与记录就分析到这里,这里只是引用了几个比较常见的,同时又能体现出两者差异和共同点的例子,大家完全可以根据自己喜欢的方式去测试服务器,比如现在流行的SQL注入和上传漏洞等,相信这样才能真正做到攻防对抗!

时间: 2024-10-26 13:09:46

IIS&Apache 攻击记录分析篇_win服务器的相关文章

windwos下IIS日志时间问题的解决方法_win服务器

看过IIS日志时间的人都知道,IIS默认情况下记录的时间是格林威治时间,也就是与我们使用的北京时间相差8个小时,这样一来看日志就很不方便. 我们通过一个很小的设置让IIS日志时间使用服务器设置的时区的时间,我们使用的北京时间也就是+8区,一般来说安装操作系统的时候已经设置过了.下面对IIS进行设置(以Windows2003+IIS6为例): 打开"Internet 信息服务(IIS)管理器",点击"Internet信息服务"."本地计算机".&q

IIS防御小规模DDOS攻击实例(反向代理)_win服务器

    最近几天公司官网和业务系统的注册页面频繁遭遇DDOS攻击,导致IIS应用程序池CPU占用率100%,访问网站出现503错误.下面总结一下应对措施.     一.启用IIS的CPU监视功能     对于低频率的DDOS可以采取这种方法.w3wp.exe是应用程序池的关联进程,当WEB访问量大时,w3wp.exe会占用大量的系统资源.在DDOS攻击下,很明显的现象就是w3wp.exe占用CPU达到100%,网站拒绝访问,这个时候远程登录服务器都很困难.针对这种情况,做如下优化:     1.

远程分析win2003 IIS安全设置第1/2页_win服务器

提起微软公司IIS web服务器的安全问题,很多人立刻就会联想到那些为人们所称颂的致命漏洞: UNICODE , CGI 解析, .ida,idq, .Printer远程溢出等. 这些伟大的漏洞恐怕是我等scriptskidding的最爱了,利用他们可以很轻松的拿到较高的系统权限.但是这篇文章并非是讨论这些致命的漏洞的,只是比较详细的介绍了如何远程判断IIS 服务器的各种设置,如目录权限,认证方法等等,文中有些东西已经很老了,但是新的东西还是值得一看的. 希望本文能够起到一个抛砖引玉的作用.好了

服务器安全设置之 系统服务篇_win服务器

WindowsServer2003 + IIS6.0 + ASP 服务器安全设置之--组件安全设置篇 A.卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)windows2000.bat 复制代码 代码如下: regsvr32/u C:/WINNT/System32/wshom.ocx del C:/WINNT/System32/wshom.ocx regsvr32/u C:/WINNT/system3

服务器安全设置之 组件安全设置篇_win服务器

WindowsServer2003 + IIS6.0 + ASP 服务器安全设置之--组件安全设置篇 A.卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)windows2000.bat 复制代码 代码如下: regsvr32/u C:/WINNT/System32/wshom.ocx del C:/WINNT/System32/wshom.ocx regsvr32/u C:/WINNT/system3

Win2003 服务器安装及设置教程 系统设置篇_win服务器

本安装及设置教程适用于使用Windows2003为操作系统的服务器,目的是让服务器支持常见网络编程语言包括ASP.PHP..Net1.1..Net2.0,支持常见数据库包括Access.MySQL.MSSQL,支持FTP,支持常见组件包括Aspjpeg.Jmail.LyfUpload.动易.ISAPI_ReWrite. 本教程共分八篇:系统安装与设置篇.软件安装与设置篇.文件及文件夹权限篇.系统服务篇.安全策略篇.系统组件篇.注册表篇.软件安全篇.本篇讨论的是第一篇:系统安装与设置 一.系统准备

让IIS支持Flv的详细设置方法_win服务器

国内大多都是Win2003的主机,FLV格式文件上传服务器后不能播放,默认是没有指定输出FLV这种格式的虽然FTP里面可以看见,但无法通过http访问,也就无法播放了.原因是,WIN2003加强了IIS6的MIME验证,一切未注册扩展文件格式统统显示404错误.手动在IIS得站点属性中的HTTP头->MIME添加MIME影射关系,MIME类型: video/x-flv 扩展名:.flv,即可通过Flash7+客户端Load进来播放. "虚拟主机都不支持Flv格式文件"的问题:比如

Serv-U防溢出提权攻击解决设置方法_win服务器

前言: 大家应该都还没有忘记三年前在Serv-U5.004版的之前所有版本的"Serv-U FTPMDTM命令缓冲区溢出"与"Serv-U FTP服务器LIST命令超长-l参数远程缓冲区溢出漏洞"吧,这个漏洞让很多服务器管理员立坐不安,也让很多大型的站点.甚至电信级的服务器沦陷了...随着Serv-U新版本的推出,这个漏同已经不存在了:虽然溢出不存在了,但黑客永远也没有停止,所以伴随着来的又是Serv-U5.0到6.0之黑客常用的本地提升权限缺陷.(注:最常见的就如

服务器安全设置_中级篇_win服务器

1.利用win2000的安全配置工具来配置策略 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求.具体内容请参考微软主页: 2.关闭不必要的服务 windows2000的TerminalServices(终端服务),IIS,和RAS都可能给你的系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务.有些恶意的程序也能以服务方式悄悄的运行.要留意服务器上面开启的所