Hoy la seguridad de la red tiene mucha atención, en la construcción de un entorno de seguridad de red, los medios técnicos y sistema de gestión de Fangmian han reforzado gradualmente, la creación de un cortafuegos, sistema de detección de intrusos, instalado. Sin embargo, la seguridad de la red global es un problema, ignorar lo que hará que el punto efecto de cubo, hace que el maniquí de la seguridad del sistema entero. Este artículo analiza los registros de servidor Web de registro para identificar las vulnerabilidades y prevenir los ataques, a fin de mejorar la seguridad del servidor web.
los servicios Web es la Internet que proporcionan el más grande, el más abundante de servicio, el servidor Web es atacado 各种 Zuiduo natural, y usamos 很多 medidas para prevenir los ataques y la invasión, que ver el expediente del servidor Web es la más directa también 常用Un enfoque más eficaz, pero los registros de registro muy grandes, la tala de registros es una visión muy complicada de las cosas, si el key grip, el atacante fácilmente pasarse por alto pistas. Las siguientes dos categorías en el servidor Web más populares: Apache e IIS para realizar experimentos para atacar y atacar a un número de registros encontrados pistas para tomar las medidas adecuadas para fortalecer la prevención.
1. Predeterminado de registros web
Para IIS, el registro por defecto guardado en c: \ winnt \ system32 \ logfiles \ W3SVC1, el nombre de archivo que es la fecha de hoy, el formato de disco es un formato estándar de registro extendido W3C, puede ser una variedad de herramientas de análisis de registros para el análisis, el formato por defecto, incluyendo el tiempo , dirección IP del usuario, método de acceso (GET o POST ...), el recurso solicitado, el estado de HTTP (en cifras) y así sucesivamente. Para una de las de estado HTTP, sabemos que una exitosa visita 200-299; 300-399 indican la necesidad de una respuesta del lado del cliente para satisfacer la solicitud; 400-499 y 500-599 indican que el cliente y los errores de servidor, lo cual los recursos comunes, como el 404 que no encuentra , 403 que el acceso está prohibido.
registro por defecto de Apache en / usr / local / apache / logs, uno de los documentos más útiles es access_log, su formato, incluyendo IP del cliente, marca personal (generalmente vacío), nombre de usuario (si la autenticación), método de acceso ( GET o POST ...), estado HTTP y el número de bytes transferidos.
2. Para reunir información
Simulamos el modo habitual de hackear el servidor, en primer lugar reunir información, a continuación, paso a paso la aplicación de la invasión de un comando a distancia. Nosotros usamos la herramienta es netcat1.1 para las ventanas, ip del servidor Web es 10.22.1.100, IP del cliente es: 10.22.1.80.
C: nc-n 80 10.22.1.100
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Servidor: Microsoft-IIS/4.0
Fecha: Sun, 08 de octubre 2002 14:31:00 GMT
Content-Type: text / html
Set-Cookie: ASPSESSIONIDGQQQQQPA = IHOJAGJDECOLLGIBNKMCEEED; path = /
Cache-Control: privado
IIS y Apache para iniciar sesión en pantalla el texto siguiente:
IIS: 15:08:44 10.22.1.80 CABEZA / default.asp 200
Linux: 10.22.1.80 - [08/Oct/2002: 15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
Las actividades de la mirada por encima de lo normal, ni tendrá ningún impacto en el servidor, pero suele ser el preludio a un ataque.
3. Sitio Web espejo
Los hackers a menudo reflejan un sitio para ayudar a atacar el servidor, la herramienta utilizada para reflejar el Teleport Pro Windows y Unix bajo Wget.
A continuación utilizar estos dos expedientes de la herramienta de información en el servidor:
16:28:52 10.22.1.80 GET / default.asp 200
16:28:52 10.22.1.80 GET / robots.txt 404
16:28:52 10.22.1.80 GET / header_protecting_your_privacy.gif 200
16:28:52 10.22.1.80 GET / header_fec_reqs.gif 200
16:28:55 10.22.1.80 GET / photo_contribs_sidebar.jpg 200
16:28:55 10.22.1.80 GET / g2klogo_white_bgd.gif 200
16:28:55 10.22.1.80 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / default.asp 200
16:49:01 10.22.1.81 GET / robots.txt 404
16:49:01 10.22.1.81 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / g2klogo_white_bgd.gif 200
16:49:01 10.22.1.81 GET / photo_contribs_sidebar.jpg 200
16:49:01 10.22.1.81 GET / header_fec_reqs.gif 200
16:49:01 10.22.1.81 GET / header_protecting_your_privacy.gif 200
10.22.1.80 es el uso de cliente Wget es Unix, 10.22.1.81 es utilizar el cliente de Windows Teleport Pro, todas las solicitudes para el archivo robots.txt, robots.txt no se solicita a utilizar cuando el archivo de imagen al. Así que ver en el archivo robots.txt peticiones que intentan tener el espejo. Por supuesto, Wget Teleport Pro y el cliente, usted puede manualmente prohibición de acceso a los archivos robots.txt, entonces, para identificar maneras de ver si hay desde una misma dirección IP a la duplicación de solicitudes de recursos.
4. Exploración de vulnerabilidades
Con el desarrollo de ataque, podemos utilizar algún software Web Vulnerability cheque, como bigote, se puede consultar todo tipo de lagunas han sido conocidos, como el programa CGI que conduce a problemas potenciales de seguridad, etc. Aquí está el IIS y Apache corriendo Whisker1.4 registros relacionados:
IIS
12:07:56 10.22.1.81 GET / SiteServer / Publishing / viewcode.asp 404
12:07:56 10.22.1.81 GET / MSADC / samples / adctest.asp 200
12:07:56 10.22.1.81 GET / equipos ADVWORKS / / catalog_type.asp 404
12:07:56 10.22.1.81 GET / iisadmpwd/aexp4b.htr 200
12:07:56 10.22.1.81 HEAD / scripts / samples / details.idc 200
12:07:56 10.22.1.81 GET / muestras scripts / / details.idc 200
12:07:56 10.22.1.81 HEAD / scripts / samples / ctguestb.idc 200
12:07:56 10.22.1.81 GET / muestras scripts / / ctguestb.idc 200
12:07:56 10.22.1.81 HEAD / scripts / herramientas / newdsn.exe 404
12:07:56 10.22.1.81 CABEZA / MSADC / Msadcs.dll 200
12:07:56 10.22.1.81 GET / scripts / iisadmin / bdir.htr 200
12:07:56 10.22.1.81 CABEZA / carbo.dll 404
12:07:56 10.22.1.81 HEAD / scripts / proxy / 403
12:07:56 10.22.1.81 CABEZA / scripts/proxy/w3proxy.dll 500
12:07:56 10.22.1.81 GET / scripts/proxy/w3proxy.dll 500
Apache
08/Oct/2002 10.22.1.80 [: 12:57:28 -0700] "GET / HTTP/1.0 cfcache.map" 404 266
08/Oct/2002 10.22.1.80 [: 12:57:28 -0700] "GET / cfide / Administrador / HTTP/1.0 startstop.html" 404 289
08/Oct/2002 10.22.1.80 [: 12:57:28 -0700] "GET / cfappman / index.cfm HTTP/1.0" 404 273
10.22.1.80 [08/Oct/2002: 12:57:28 -0700] "GET / cgi-bin / HTTP/1.0" 403 267
08/Oct/2002 10.22.1.80 [: 12:57:29 -0700] "GET / HTTP/1.0 cgi-bin/dbmlparser.exe" 404 277
10.22.1.80 [08/Oct/2002: 12:57:29 -0700] "HEAD / _vti_inf.html HTTP/1.0" 404 0
10.22.1.80 [08/Oct/2002: 12:57:29 -0700] "HEAD / _vti_pvt / HTTP/1.0" 404 0
08/Oct/2002 10.22.1.80 [: 12:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/webdist.cgi" 404 0
08/Oct/2002 10.22.1.80 [: 12:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/handler" 404 0
08/Oct/2002 10.22.1.80 [: 12:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/wrap" 404 0
08/Oct/2002 10.22.1.80 [: 12:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/pfdisplay.cgi" 404
Compruebe este ataque, la clave es ver la misma dirección IP en el directorio cgi (IIS es el scripts, Apache es el cgi-bin) presentar una solicitud de estado aparece más de 404. Entonces debemos comprobar los procedimientos de protección pertinentes directorio cgi.
5. Ataque de largo alcance
Aquí nos centramos en el ataque MDAC IIS, por ejemplo, para entender el ataque de largo alcance en las entradas de registro en el caso. vulnerabilidad de MDAC podría permitir a un atacante ejecutar cualquier servidor de comandos Web.
17:48:49 10.22.1.80 GET / MSADC / Msadcs.dll 200
17:48:51 10.22.1.80 POST / MSADC / Msadcs.dll 200
Cuando ocurrió el ataque, el registro permanecerá en Msadcs.dll registros solicitados.
Otro asp conocidos ataques de código fuente de la vulnerabilidad de fugas, cuando los ataques ocurren estos archivos de registro tendrá los siguientes registros:
17:50:13 10.22.1.81 GET / default.asp +. Htr 200
Para los ataques acceso no autorizado de registro, registro de Apache mostrará:
[08/Oct/2002: 18:58:29 -0700] "GET / private / HTTP/1.0" 401 462
6. Resumen
requisitos del emplazamiento de un sistema de seguridad, administradores de seguridad tienen el sentido común y la vigilancia, desde diferentes fuentes de conocimiento no sólo acerca de la seguridad contra los ataques que se han producido, sino también en el ataque se producirá para mejorar la prevención. Archivo de registro a través de entender y prevenir los ataques es muy importante pero frecuentemente ignorado medio fácil.
IDS (Intrusion Detection System) le puede ayudar mucho, pero no puede sustituir a la gestión de la seguridad. Entra doble verificación, IDS es algo que falta, puede encontrar aquí.