Das heutige Netzwerk, Sicherheit viel Aufmerksamkeit bekam, in den Aufbau einer Netzwerk-Sicherheit Umwelt, die technischen Mittel und Management-System haben und damit schrittweise gestärkt und Einrichtung einer Firewall, Intrusion Detection Systeme, etc. installiert. Allerdings ist eine umfassende Netzwerk-Sicherheit ein Problem, ignorieren welchem Punkt wird Eimer Wirkung auslösen, macht das ganze Sicherheitssystem Dummy. Dieser Artikel analysiert Web-Server-Protokollierung Datensätze, um Schwachstellen zu erkennen und Anschläge zu verhindern, so dass Web-Server-Sicherheit zu verbessern.
Web-Services ist das Internet, dass die größte und umfangreichste Dienstleistungsfreiheit 各种 Web-Server natürlich auch unter Gongji 最多 's, verwenden wir die Arten von Maßnahmen zur Fangzhi Angriff und Invasion, Qi Zhong um den Web-Server Ji Lu ist die direkteste und am häufigsten verwendeten, es Ein effektiver Ansatz, aber sehr große Datensätze Protokollierung, Logging Records ist ein sehr kompliziertes Sicht der Dinge, wenn der Key Grip, den Angreifer leicht Indizien übersehen werden. Die folgenden zwei Kategorien für die beliebtesten Web-Server: Apache und IIS zu tun Experimente zu überfallen und dann greifen die vielen gefundenen Datensätze Hinweise auf geeignete Maßnahmen zur Prävention zu stärken nehmen.
1. Standard-Web-Rekord
Für IIS, die Standard-Datensatz gespeichert C: \ WINDOWS \ system32 \ logfiles \ w3svc1, den Dateinamen, dass das heutige Datum ist, wird Satzformat ein Standard W3C Extended Log Format, können eine Vielzahl von Log-Analyse-Tools zur Analyse sein, die Standard-Format, einschließlich der Zeit , Besucher-IP-Adresse, erhalten Sie Zugang Methode (POST oder ...), die angeforderte Ressource, HTTP-Status (in Zahlen) und so weiter. Für einen der HTTP-Status, wissen wir, dass ein erfolgreicher Besuch 200-299; 300-399 die Notwendigkeit für die Client-seitige Antwort auf die Forderung zu erfüllen geben; 400-499 und 500-599 zeigen, dass die Client-und Server-Fehler, die gemeinsamen Ressourcen wie der 404, die nicht gefunden haben, , 403, dass der Zugang verboten ist.
Apache ist standardmäßig Eintrag in / usr / local / apache / logs, eines der nützlichsten Dokumentation ist access_log gespeicherten Daten, deren Format, einschließlich IP-Client, persönliche Note (in der Regel leer), Benutzername (wenn nötig Authentifizierung), Zugang Methode ( GET-oder POST ...), HTTP-Status und die Anzahl der übertragenen Bytes.
2. Um Informationen
Wir simulieren die übliche Art der Hacker den Server zunächst Informationen sammeln, dann Schritt für Schritt die Umsetzung der Invasion von einem Remote-Befehl. Wir verwenden das Tool netcat1.1 für Windows, Web-Server IP 10.22.1.100 ist, Client IP: 10.22.1.80.
C: NC-80 N 10.22.1.100
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 8 Oktober 2002 14.31.00 GMT
Content-Type: text / html
Set-Cookie: ASPSESSIONIDGQQQQQPA = IHOJAGJDECOLLGIBNKMCEEED; path = /
Cache-Control: private
IIS und Apache, um sich in die folgende Anzeige:
IIS: 15.08.44 10.22.1.80 HEAD / Default.asp 200
Linux: 10.22.1.80 - [08/Oct/2002: 15.56.39 -0700] "HEAD / HTTP/1.0" 200 0
Die Aktivitäten der oben normal, wird es auch keine Auswirkungen auf den Server, aber es ist meist ein Vorspiel zum Angriff.
3. Website Spiegel
Hacker oft spiegelglatten eine Website zu helfen, greifen die Server, das Werkzeug benutzt, um die Teleport Pro Windows Spiegel, und unter Unix Wget.
Wir verwenden diese beiden nächsten Tool erfasst die Daten in den Server:
16.28.52 10.22.1.80 GET / Default.asp 200
16.28.52 10.22.1.80 GET / robots.txt 404
16.28.52 10.22.1.80 GET / header_protecting_your_privacy.gif 200
16.28.52 10.22.1.80 GET / header_fec_reqs.gif 200
16.28.55 10.22.1.80 / photo_contribs_sidebar.jpg 200:
16.28.55 10.22.1.80 GET / g2klogo_white_bgd.gif 200
16.28.55 10.22.1.80 GET / header_contribute_on_line.gif 200
16.49.01 10.22.1.81 GET / Default.asp 200
16.49.01 10.22.1.81 GET / robots.txt 404
16.49.01 10.22.1.81 GET / header_contribute_on_line.gif 200
16.49.01 10.22.1.81 GET / g2klogo_white_bgd.gif 200
16.49.01 10.22.1.81 / photo_contribs_sidebar.jpg 200:
16.49.01 10.22.1.81 GET / header_fec_reqs.gif 200
16.49.01 10.22.1.81 GET / header_protecting_your_privacy.gif 200
10.22.1.80 ist die Verwendung von Wget das Unix-Client, 10.22.1.81 ist die Teleport Pro Windows-Client, alle Anfragen für robots.txt-Datei verwenden, wird die angeforderte Robots.txt nicht zu verwenden, wenn das Bild, um die Datei. Also, auf die robots.txt-Datei auf den Antrag zu sehen, dass es ein Versuch, Spiegel. Natürlich Wget und Teleport Pro-Client, können Sie manuell über die Datei robots.txt den Zugriff zu verbieten, dann, um Wege zu finden, wenn es von der gleichen IP-Adresse, die Doppelung von Ressource Anfragen zu identifizieren.
4. Vulnerability Scanning
Mit der Entwicklung der Angriff, wir können einige Web Vulnerability Check-Software wie Whisker verwenden, überprüft es alle bekannten Lücken, wie die CGI-Programm führt zu potentiellen Sicherheitsproblemen, etc.. Hier ist der IIS und Apache läuft Whisker1.4 verknüpften Datensätze:
IIS
00.07.56 10.22.1.81 GET / SiteServer / Publishing / ViewCode.asp 404
00.07.56 10.22.1.81 GET / msadc / samples / adctest.asp 200
00.07.56 10.22.1.81 GET / advworks / Ausrüstung / catalog_type.asp 404
00.07.56 10.22.1.81 GET / iisadmpwd/aexp4b.htr 200
00.07.56 10.22.1.81 HEAD / scripts / samples / details.idc 200
00.07.56 10.22.1.81 GET / scripts / samples / details.idc 200
00.07.56 10.22.1.81 HEAD / scripts / samples / ctguestb.idc 200
00.07.56 10.22.1.81 GET / scripts / samples / ctguestb.idc 200
00.07.56 10.22.1.81 HEAD / scripts / tools / newdsn.exe 404
00.07.56 10.22.1.81 HEAD / msadc / msadcs.dll 200
00.07.56 10.22.1.81 GET / scripts / iisadmin / bdir.htr 200
00.07.56 10.22.1.81 HEAD / carbo.dll 404
00.07.56 10.22.1.81 HEAD / scripts / proxy / 403
00.07.56 10.22.1.81 HEAD / scripts/proxy/w3proxy.dll 500
00.07.56 10.22.1.81 GET / scripts/proxy/w3proxy.dll 500
Apache
10.22.1.80-[08/Oct/2002: 00.57.28 -0700] "GET / HTTP/1.0 cfcache.map" 404 266
10.22.1.80-[08/Oct/2002: 00.57.28 -0700] "GET / CFIDE / Administrator / startstop.html HTTP/1.0" 404 289
10.22.1.80-[08/Oct/2002: 00.57.28 -0700] "GET / cfappman / index.cfm HTTP/1.0" 404 273
10.22.1.80-[08/Oct/2002: 00.57.28 -0700] "GET / cgi-bin / HTTP/1.0" 403 267
10.22.1.80-[08/Oct/2002: 00.57.29 -0700] "GET / HTTP/1.0 cgi-bin/dbmlparser.exe" 404 277
10.22.1.80-[08/Oct/2002: 00.57.29 -0700] "HEAD / HTTP/1.0 _vti_inf.html" 404 0
10.22.1.80-[08/Oct/2002: 00.57.29 -0700] "HEAD / _vti_pvt / HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00.57.29 -0700] "HEAD / HTTP/1.0 cgi-bin/webdist.cgi" 404 0
10.22.1.80-[08/Oct/2002: 00.57.29 -0700] "HEAD / HTTP/1.0 cgi-bin/handler" 404 0
10.22.1.80-[08/Oct/2002: 00.57.29 -0700] "HEAD / HTTP/1.0 cgi-bin/wrap" 404 0
10.22.1.80-[08/Oct/2002: 00.57.29 -0700] "HEAD / HTTP/1.0 cgi-bin/pfdisplay.cgi" 404
Prüfen Sie diesen Angriff, der Schlüssel zu der gleichen IP-Adresse auf dem CGI-Verzeichnis (IIS ist die Skripte zu sehen ist, wird der Apache cgi-bin-Datei) einen Antrag Staat erscheint mehr als 404. Dann müssen wir prüfen, die entsprechenden Verfahren CGI-Verzeichnis Sicherheit.
5. Weiträumige Angriff
Hier haben wir gezielt die MDAC IIS Angriff, zum Beispiel zu verstehen, den Langstrecken-Angriff in der Log-Einträge in der Falle. MDAC Sicherheitsanfälligkeit kann einem Angreifer ermöglichen, beliebigen Befehl Web-Server auszuführen.
17.48.49 10.22.1.80 GET / msadc / msadcs.dll 200
17.48.51 10.22.1.80 POST / msadc / msadcs.dll 200
Als der Angriff kam, wird das Protokoll auf msadcs.dll angeforderte Datensätze bleiben.
Ein weiterer bekannter Angriffe ASP-Quellcode Leck Schwachstelle, wenn solche Angriffe erfolgen, Log-Dateien werden die folgenden Einträge haben:
17.50.13 10.22.1.81 GET / default.asp +. Htr 200
Für das Protokoll unberechtigtem Zugriff Angriffe, wird Apache-Log-Show:
[08/Oct/2002: 18.58.29 -0700] "GET / private / HTTP/1.0" 401 462
6. Summary
Website-Anforderungen für ein Sicherheitssystem, haben Sicherheits-Managern der gesunde Menschenverstand und die Wachsamkeit, aus verschiedenen Quellen des Wissens nicht nur um die Sicherheit gegen Angriffe, die aufgetreten sind, sondern auch auf den Angriff wird kommen zu einer besseren Vorbeugung zu erreichen. Log-Datei zu verstehen und durch Angriffe verhindern, ist sehr wichtig, aber oft übersehen leicht.
IDS (Intrusion Detection System) kann Ihnen helfen, eine Menge, aber es kann kein Ersatz für das Security Management. Double-check Log ist IDS etwas fehlt, können Sie hier finden.