réseau d'aujourd'hui, la sécurité s'est beaucoup d'attention, dans la construction d'un environnement de sécurité réseau, les moyens techniques et système de gestion et ont donc peu à peu renforcé, et mettre en place un pare-feu, systèmes de détection d'intrusion, etc installé. Toutefois, la sécurité réseau global est un problème, ignorer ce point fera l'effet seau, fait le mannequin de sécurité l'ensemble du système. Cet article analyse l'enregistrement des dossiers du serveur Web pour identifier les vulnérabilités et prévenir les attaques, afin de renforcer la sécurité du serveur Web.
services Web est fourni par l'Internet le plus, le plus abondant du service, une gamme de serveur Web naturellement plus fréquemment attaquées, nous avons adopté de nombreuses mesures Lai lui-même contre Gong Ji et l'invasion, qui considèrent dossier du serveur Web est le plus direct et Chang Yong aussi Une approche plus efficace, mais très grande dossiers exploitation forestière, l'exploitation forestière des dossiers est une vue très compliqué de choses, si la poignée de clé, l'attaquant pourrait facilement être négligé des indices. Les deux catégories suivantes sur le serveur Web le plus populaire: Apache et IIS pour faire des expériences à l'attaque et ensuite attaquer le nombre d'enregistrements trouvés des indices à prendre les mesures appropriées pour renforcer la prévention.
1. Record web par défaut
Pour IIS, le dossier par défaut stocké dans c: \ winnt \ system32 \ LogFiles \ W3SVC1, le nom du fichier qui est la date d'aujourd'hui, format d'enregistrement est un format standard du W3C journal étendu, peut être une variété d'outils d'analyse de journaux à l'analyse, le format par défaut, y compris le temps , l'adresse IP des visiteurs, méthode d'accès (GET ou POST ...), des ressources demandées, le statut HTTP (en chiffres) et ainsi de suite. Pour l'un de l'état HTTP, nous savons qu'une visite réussie 200-299; 300-399 indiquer la nécessité d'une réponse du côté client pour répondre à la demande; 400-499 et 500-599 montrent que le client et les erreurs du serveur, ce qui les ressources communes telles que la 404 qui n'a pas trouvé , 403 que l'accès est interdit.
enregistrement par défaut d'Apache sont stockées dans / usr / local / apache / logs, l'un des documents les plus utiles est access_log, son format, y compris IP du client, la marque personnelle (généralement vide), nom d'utilisateur (si l'authentification nécessaire) méthode d'accès, ( GET ou POST HTTP ...), le statut et le nombre d'octets transférés.
2. Pour recueillir des informations
Nous simulons le mode habituel de piratage du serveur, d'abord recueillir des informations, puis, étape par étape la mise en œuvre de l'invasion d'une commande à distance. Nous utilisons l'outil est netcat1.1 pour Windows, adresse IP du serveur Web est 10.22.1.100, IP du client est: 10.22.1.80.
C: nc-n 80 10.22.1.100
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 8 octobre 2002 14:31:00 GMT
Content-Type: text / html
Set-Cookie: ASPSESSIONIDGQQQQQPA = IHOJAGJDECOLLGIBNKMCEEED; path = /
Cache-control: private
IIS et Apache de se connecter pour afficher le texte suivant:
IIS: 15:08:44 10.22.1.80 HEAD / Default.asp 200
Linux: 10.22.1.80 - 08/Oct/2002 [: 15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
Les activités de l'aspect dessus de la normale, et qu'il n'aura aucun impact sur le serveur, mais il est généralement le prélude à l'attaque.
3. Miroir site Web
Hackers reflètent souvent un site pour aider à attaquer le serveur, l'outil utilisé pour refléter la Teleport Pro Windows, Unix et sous Wget.
Nous avons ensuite utiliser ces deux documents outil de l'information sur le serveur:
16:28:52 10.22.1.80 GET / Default.asp 200
16:28:52 10.22.1.80 GET / robots.txt 404
16:28:52 10.22.1.80 GET / header_protecting_your_privacy.gif 200
16:28:52 10.22.1.80 GET / header_fec_reqs.gif 200
16:28:55 10.22.1.80 GET / photo_contribs_sidebar.jpg 200
16:28:55 10.22.1.80 GET / g2klogo_white_bgd.gif 200
16:28:55 10.22.1.80 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / Default.asp 200
16:49:01 10.22.1.81 GET / robots.txt 404
16:49:01 10.22.1.81 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / g2klogo_white_bgd.gif 200
16:49:01 10.22.1.81 GET / photo_contribs_sidebar.jpg 200
16:49:01 10.22.1.81 GET / header_fec_reqs.gif 200
16:49:01 10.22.1.81 GET / header_protecting_your_privacy.gif 200
10.22.1.80 est l'utilisation du client de Wget Unix, 10.22.1.81 est d'utiliser le client de l'Teleport Pro de Windows, toutes les demandes de fichier robots.txt, robots.txt est prié de ne pas utiliser lorsque le fichier image à l'. Ainsi, sur le fichier robots.txt pour déterminer la demande, qu'il ya une tentative de miroir. Bien sûr, wget et Teleport Pro client, vous pouvez manuellement interdiction de l'accès au fichier robots.txt, puis, d'identifier les moyens pour voir si il ya de la même adresse IP à la duplication des demandes de ressources.
4. Balayage de vulnérabilité
Avec le développement de l'attaque, nous pouvons utiliser certains logiciels Web vérifier la vulnérabilité, comme les moustaches, il vérifie toutes les failles connues, telles que le programme CGI qui entraîne des problèmes de sécurité potentiels, etc. Voici le IIS et Apache Whisker1.4 dossiers relatifs:
IIS
12:07:56 10.22.1.81 GET / SiteServer / Edition / viewcode.asp 404
12:07:56 10.22.1.81 GET / MSADC / samples / adctest.asp 200
12:07:56 10.22.1.81 GET / AdvWorks / équipement / catalog_type.asp 404
12:07:56 10.22.1.81 GET / iisadmpwd/aexp4b.htr 200
12:07:56 10.22.1.81 HEAD / scripts / samples / details.idc 200
12:07:56 10.22.1.81 GET / scripts / samples / details.idc 200
12:07:56 10.22.1.81 HEAD / scripts / samples / ctguestb.idc 200
12:07:56 10.22.1.81 GET / scripts / samples / ctguestb.idc 200
12:07:56 10.22.1.81 HEAD / scripts / outils / newdsn.exe 404
12:07:56 10.22.1.81 HEAD / MSADC / 200 msadcs.dll
12:07:56 10.22.1.81 GET / scripts / iisadmin / bdir.htr 200
12:07:56 10.22.1.81 HEAD / carbo.dll 404
12:07:56 10.22.1.81 HEAD / scripts / proxy / 403
12:07:56 10.22.1.81 HEAD / scripts/proxy/w3proxy.dll 500
12:07:56 10.22.1.81 GET / scripts/proxy/w3proxy.dll 500
Apache
08/Oct/2002 10.22.1.80-[: 12:57:28 -0700] "GET / HTTP/1.0 cfcache.map" 404 266
08/Oct/2002 10.22.1.80-[: 12:57:28 -0700] "GET / CFIDE / administrateur / HTTP/1.0 startstop.html" 404 289
08/Oct/2002 10.22.1.80-[: 12:57:28 -0700] "GET / HTTP/1.0 index.cfm cfappman /" 404 273
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] »GET / cgi-bin / HTTP/1.0" 403 267
08/Oct/2002 10.22.1.80-[: 12:57:29 -0700] "GET / HTTP/1.0 cgi-bin/dbmlparser.exe" 404 277
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / HTTP/1.0 _vti_inf.html" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / _vti_pvt / HTTP/1.0" 404 0
08/Oct/2002 10.22.1.80-[: 12:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/webdist.cgi" 404 0
08/Oct/2002 10.22.1.80-[: 12:57:29 -0700] "HTTP/1.0 HEAD cgi-bin/handler /" 404 0
08/Oct/2002 10.22.1.80-[: 12:57:29 -0700] "HTTP/1.0 HEAD cgi-bin/wrap /" 404 0
08/Oct/2002 10.22.1.80-[: 12:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/pfdisplay.cgi" 404
Cochez cette attaque, l'important est de voir la même adresse IP sur le répertoire CGI (IIS est la scripts, Apache est le cgi-bin) déposer une demande de l'État apparaît plus que 404. Ensuite, il faut vérifier les procédures appropriées de sûreté répertoire cgi.
5. Attaque à longue distance
Ici, nous avons ciblé l'attaque MDAC IIS, par exemple, de comprendre l'attaque à longue portée dans les enregistrements du journal dans l'affaire. vulnérabilité MDAC pourrait permettre à un attaquant d'exécuter n'importe quelle commande du serveur Web.
17:48:49 10.22.1.80 GET / MSADC / 200 msadcs.dll
17:48:51 10.22.1.80 POST / MSADC / 200 msadcs.dll
Lors de l'attaque, le journal reste sur msadcs.dll documents demandés.
Un autre code bien connu des attaques source asp vulnérabilité de fuite, quand de telles attaques se produisent, les fichiers journaux auront les documents suivants:
17:50:13 10.22.1.81 GET / default.asp +. Htr 200
Pour les attaques enregistrer l'accès non autorisé, log Apache affiche:
[08/Oct/2002: 18:58:29 -0700] "GET / private / HTTP/1.0" 401 462
6. Résumé
exigences du site pour un système de sécurité, responsables de la sécurité ont le sens commun et la vigilance, à partir de différentes sources de connaissances non seulement sur la sécurité contre les attaques qui ont eu lieu, mais aussi sur l'attaque aura lieu d'améliorer la prévention. Connectez-fichier par le biais de comprendre et de prévenir les attaques est très important mais souvent négligé facile.
IDS (Intrusion Detection System) peut vous aider beaucoup, mais il ne peut pas remplacer la gestion de la sécurité. Connectez-vérifier, IDS est quelque chose qui manque, vous pouvez trouver ici.