Dagens netværk, sikkerhed fik meget opmærksomhed, i opbygningen af netsikkerhed miljø, de tekniske hjælpemidler, miljøledelsessystem og så har gradvist styrket, og oprette en firewall, intrusion detection system og således installeret. Men omfattende netværk sikkerhed er et problem, ignorere, hvad punkt vil forårsage spand virkning, at hele sikkerhedssystemet dummy. Denne artikel analyserer webserver logge registre for at identificere sårbarheder og forhindre angreb, så man kan styrke webserver sikkerhed.
Web services er internettet, der giver det største, det mest udbredte tjenester, en bred vifte af web-serveren er angrebet den mest naturlige, har vi vedtaget mange foranstaltninger for at forhindre angreb og indtrængen, som vist webserveren's resultater er de mest direkte, men den mest almindelige, men også En mere effektiv tilgang, men meget store skovhugst optegnelser, logning Records er et meget kompliceret opfattelse af tingene, hvis de centrale greb, vil hackeren nemt blive overset spor. De følgende to kategorier på de mest populære webserver: Apache og IIS til at gøre eksperimenter til at angribe og derefter angreb en række poster blev fundet spor at træffe passende foranstaltninger til at styrke forebyggelse.
1. Default web record
For IIS, gemt standard rekord i c: \ winnt \ system32 \ logfiler \ w3svc1, det filnavn, der er dags dato, record-formatet er en standard W3C udvidet log-format, kan være en række log analyseværktøjer til analyse, den standard format, herunder den tid , besøgendes IP-adresse, adgang metode (GET eller POST ...), den ønskede ressource, HTTP status (i tal) og så videre. For et af HTTP status, ved vi, at en vellykket besøg 200-299; 300-399 pege på behovet for klientsiden svar til at imødekomme anmodningen, 400-499 og 500-599 viser, at klient og server fejl; som fælles ressourcer som f.eks 404, der ikke finde , 403, at adgang er forbudt.
Apache's default record gemt i / usr / local / apache / logs, en af de mest nyttige dokumentation adgangs_log, dens format, herunder klient IP, personlige præg (normalt tomme), brugernavn (hvis det er nødvendigt autentificering), adgang metode ( GET eller POST ...), HTTP status, og antallet af overførte bytes.
2. At indsamle information
Vi simulere den sædvanlige måde at hacking serveren, første indsamle oplysninger, så trin for trin gennemførelsen af invasionen af en ekstern kommando. Vi bruger værktøjet netcat1.1 for vinduer, Web server ip er 10.22.1.100, klientens IP er: 10.22.1.80.
C: nc-n 10.22.1.100 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Dato: Sun, 08 oktober de 2002 14:31:00 GMT
Content-Type: text / html
Set-Cookie: ASPSESSIONIDGQQQQQPA = IHOJAGJDECOLLGIBNKMCEEED; path = /
Cache-control: private
IIS og Apache til at logge på for at få vist følgende:
IIS: 15:08:44 10.22.1.80 HEAD / Default.asp 200
Linux: 10.22.1.80 - [08/Oct/2002: 15:56:39 -0.700] "HEAD / HTTP/1.0" 200 0
Aktiviteterne i ovenstående ser normal, vil heller ikke have nogen indflydelse på serveren, men det er som regel en optakt til angreb.
3. Websted spejl
Hackere ofte spejl et websted for at hjælpe angribe server, det værktøj, der anvendes til at spejle den Teleport pro Windows, og Unix under Wget.
Vi næste bruge disse to værktøj registrerer oplysningerne i server:
16:28:52 10.22.1.80 GET / Default.asp 200
16:28:52 10.22.1.80 GET / robots.txt 404
16:28:52 10.22.1.80 GET / header_protecting_your_privacy.gif 200
16:28:52 10.22.1.80 GET / header_fec_reqs.gif 200
16:28:55 10.22.1.80 GET / photo_contribs_sidebar.jpg 200
16:28:55 10.22.1.80 GET / g2klogo_white_bgd.gif 200
16:28:55 10.22.1.80 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / Default.asp 200
16:49:01 10.22.1.81 GET / robots.txt 404
16:49:01 10.22.1.81 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / g2klogo_white_bgd.gif 200
16:49:01 10.22.1.81 GET / photo_contribs_sidebar.jpg 200
16:49:01 10.22.1.81 GET / header_fec_reqs.gif 200
16:49:01 10.22.1.81 GET / header_protecting_your_privacy.gif 200
10.22.1.80 er brugen af Wget's Unix-klient, 10.22.1.81 er at bruge Teleport pro's Windows klient, alle anmodninger om robots.txt fil, Robots.txt anmodet om ikke at bruge, når billedfilen til. Så for at se om robots.txt fil anmoder om, at forsøg på at få spejlet. Selvfølgelig, Wget og Teleport pro-klient kan du manuelt forbud mod robots.txt fil adgang, så at finde måder at se, om der er fra samme IP-adresse til en gentagelse af ressource anmodninger.
4. Sårbarhed Scanning
Med udviklingen af angreb, kan vi bruge nogle web-svaghed check software, såsom knurhår, det kontrollerer alle kendte smuthuller, som cgi program, der fører til potentielle sikkerhedsproblemer mv. Her er IIS og Apache kører Whisker1.4 poster vedrørende:
IIS
12:07:56 10.22.1.81 GET / SiteServer / Publishing / viewcode.asp 404
12:07:56 10.22.1.81 GET / msadc / prøver / adctest.asp 200
12:07:56 10.22.1.81 GET / advworks / udstyr / catalog_type.asp 404
12:07:56 10.22.1.81 GET / iisadmpwd/aexp4b.htr 200
12:07:56 10.22.1.81 HEAD / scripts / prøver / details.idc 200
12:07:56 10.22.1.81 GET / scripts / prøver / details.idc 200
12:07:56 10.22.1.81 HEAD / scripts / prøver / ctguestb.idc 200
12:07:56 10.22.1.81 GET / scripts / prøver / ctguestb.idc 200
12:07:56 10.22.1.81 HEAD / scripts / værktøjer / newdsn.exe 404
12:07:56 10.22.1.81 HEAD / msadc / msadcs.dll 200
12:07:56 10.22.1.81 GET / scripts / IISAdmin / bdir.htr 200
12:07:56 10.22.1.81 HEAD / carbo.dll 404
12:07:56 10.22.1.81 HEAD / scripts / proxy / 403
12:07:56 10.22.1.81 HEAD / scripts/proxy/w3proxy.dll 500
12:07:56 10.22.1.81 GET / scripts/proxy/w3proxy.dll 500
Apache
10.22.1.80-[08/Oct/2002: 12:57:28 -0.700] "GET / cfcache.map HTTP/1.0" 404 266
10.22.1.80-[08/Oct/2002: 12:57:28 -0.700] "GET / cfide / Administrator / startstop.html HTTP/1.0" 404 289
10.22.1.80-[08/Oct/2002: 12:57:28 -0.700] "GET / cfappman / index.cfm HTTP/1.0" 404 273
10.22.1.80-[08/Oct/2002: 12:57:28 -0.700] "GET / cgi-bin / HTTP/1.0" 403 267
10.22.1.80-[08/Oct/2002: 00:57:29 -0.700] "GET / cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
10.22.1.80-[08/Oct/2002: 00:57:29 -0.700] "HEAD / _vti_inf.html HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0.700] "HEAD / _vti_pvt / HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0.700] "HEAD / cgi-bin/webdist.cgi HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0.700] "HEAD / cgi-bin/handler HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0.700] "HEAD / cgi-bin/wrap HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0.700] "HEAD / cgi-bin/pfdisplay.cgi HTTP/1.0" 404
Check dette angreb, at nøglen er at se den samme IP-adresse på cgi bibliotek (IIS er scripts, Apache er cgi-bin-fil) en anmodning tilstand forekommer mere end 404. Så vi skal tjekke de relevante procedurer cgi bibliotek sikkerhed.
5. Langtrækkende angreb
Her har vi målrettet den MDAC IIS angreb, for eksempel for at forstå de langtrækkende angreb i loggen poster i sagen. MDAC Sårbarheden kan tillade en angriber at udføre enhver kommando webserver.
17:48:49 10.22.1.80 GET / msadc / msadcs.dll 200
17:48:51 10.22.1.80 POST / msadc / msadcs.dll 200
Da angrebet skete, vil log ophold på msadcs.dll ønskede poster.
Et andet velkendt angreb asp kildekode lække sårbarhed, når sådanne angreb sker, logfiler vil have følgende poster:
17:50:13 10.22.1.81 GET / default.asp +. HTR 200
For the record uautoriseret adgang angreb, vil Apache log vise:
[08/Oct/2002: 18:58:29 -0.700] "GET / privat / HTTP/1.0" 401 462
6. Sammenfatning
Administrer en sikker arbejdsplads med sikkerhed forvaltning kræver et system af sund fornuft og årvågenhed, fra forskellige kilder til at forstå viden om sikkerhed, ikke kun mod angreb, der har fundet sted, men også på angreb vil forekomme at opnå en bedre forebyggelse. Log-filen gennem at forstå og forebygge angreb er meget vigtigt, men ofte overset måde let.
IDS (Intrusion Detection System) kan hjælpe dig en masse, men det kan ikke erstatte den sikkerhed forvaltning. Dobbelt-tjek Log IDS mangler noget, kan du finde her.