rete di oggi, la sicurezza, ma ho molta attenzione, nel costruire un ambiente di sicurezza della rete, i mezzi tecnici e di sistema di gestione e quindi hanno gradualmente rafforzato, e impostare un firewall, sistemi di intrusion detection, ecc installato. Tuttavia, la sicurezza della rete globale è un problema, ignorare che punto farà effetto secchio, rende il tutto fittizio sistema di sicurezza. Questo articolo analizza server Web log record a identificare le vulnerabilità e prevenire gli attacchi, in modo da aumentare la sicurezza del server web.
services web offerte da Internet i most, i servizi più ampia, una varietà of attacchi server Web è naturalmente la più was che noi abbiamo adottato numerosi provvedimenti to prevent attacks e intrusioni, che vista registrare il server Web è il più diretto, il più comune, ma anche Un approccio più efficace, ma i record di registrazione di grandi dimensioni, la registrazione record è una visione molto complessa delle cose, se il grip chiave, l'utente malintenzionato potrebbe facilmente essere trascurato indizi. Le seguenti due categorie sul server più popolari Web: Apache e IIS di fare esperimenti per attaccare e poi attaccare il record raccolto elementi di adottare misure appropriate per rafforzare la prevenzione.
1. Web predefinito record
Per IIS, il record di default memorizzati in c: \ winnt \ system32 \ LogFiles \ W3SVC1, il nome del file che viene data odierna, il formato di registrazione è un formato standard di registro W3C estesa, può essere una varietà di strumenti di analisi dei log per l'analisi, il formato predefinito, incluso il tempo , indirizzi IP dei visitatori, il metodo di accesso (GET o POST ...), la risorsa richiesta, lo status HTTP (in cifre) e così via. Per uno degli status HTTP, sappiamo che una visita di successo 200-299, 300-399 indicare la necessità di una risposta sul lato client per soddisfare la richiesta, 400-499 e 500-599 dimostrano che il client e gli errori del server; cui le risorse comuni, come la 404 che non hanno trovato , 403 che l'accesso è vietato.
record di default di Apache in / usr / local / apache / logs, uno dei documenti più utili è access_log, il suo formato, tra cui IP del client, marchio di personale (di solito vuoto), nome utente (autenticazione se necessario), l'accesso metodo ( GET o POST ...), stato HTTP e il numero di byte trasferiti.
2. Per raccogliere informazioni
Noi simulare il modo usuale di hacking del server, da un lato raccogliere informazioni, poi passo dopo passo l'attuazione di invasione di un comando remoto. Usiamo lo strumento è netcat1.1 per le finestre, l'IP del server Web è 10.22.1.100, IP del client è: 10.22.1.80.
C: nc-n 80 10.22.1.100
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 8 ottobre 2002 14:31:00 GMT
Content-Type: text / html
Set-Cookie: ASPSESSIONIDGQQQQQPA = IHOJAGJDECOLLGIBNKMCEEED; path = /
Cache-Control: private
IIS e Apache per accedere a visualizzare il seguente:
IIS: 15:08:44 10.22.1.80 HEAD / Default.asp 200
Linux: 10.22.1.80 - [08/Oct/2002: 15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
Le attività del look di sopra della norma, né avrà alcun impatto sul server, ma di solito è il preludio di attacco.
3. Mirror del sito web
Gli hacker spesso specchio di un sito per aiutare attaccare i server, lo strumento utilizzato per il mirroring della Teleport Pro Windows e Unix sotto Wget.
Siamo prossimi utilizzare questi due record strumento delle informazioni contenute nel server:
16:28:52 10.22.1.80 GET / Default.asp 200
16:28:52 10.22.1.80 GET / robots.txt 404
16:28:52 10.22.1.80 GET / header_protecting_your_privacy.gif 200
16:28:52 10.22.1.80 GET / header_fec_reqs.gif 200
16:28:55 10.22.1.80 GET / photo_contribs_sidebar.jpg 200
16:28:55 10.22.1.80 GET / g2klogo_white_bgd.gif 200
16:28:55 10.22.1.80 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / Default.asp 200
16:49:01 10.22.1.81 GET / robots.txt 404
16:49:01 10.22.1.81 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / g2klogo_white_bgd.gif 200
16:49:01 10.22.1.81 GET / photo_contribs_sidebar.jpg 200
16:49:01 10.22.1.81 GET / header_fec_reqs.gif 200
16:49:01 10.22.1.81 GET / header_protecting_your_privacy.gif 200
10.22.1.80 è l'uso di client Unix Wget, il 10.22.1.81 è quello di utilizzare il client di Windows Teleport Pro, tutte le richieste di file robots.txt, robots.txt è pregato di non usare quando il file di immagine. Quindi, per vedere in merito alle richieste di file robots.txt che tentano di avere lo specchio. Naturalmente, Wget e client Teleport Pro, è possibile impostare manualmente il divieto di accesso ai file robots.txt, quindi, individuare le modalità per vedere se ci sono dallo stesso indirizzo IP per la duplicazione di richieste di risorse.
4. Scansione delle vulnerabilità
Con lo sviluppo di attacco, possiamo utilizzare alcune vulnerabilità del software di controllo Web, come ad esempio Whisker, esso controlla tutte le scappatoie conosciuti, come il programma cgi conduce ai problemi di sicurezza potenziali, ecc. Ecco la IIS e Apache Whisker1.4 record correlati:
IIS
12:07:56 10.22.1.81 GET / SiteServer / tradotti / viewcode.asp 404
12:07:56 10.22.1.81 GET / msadc / samples / adctest.asp 200
12:07:56 10.22.1.81 GET / advworks / attrezzature / catalog_type.asp 404
12:07:56 10.22.1.81 GET / iisadmpwd/aexp4b.htr 200
12:07:56 10.22.1.81 HEAD / scripts / samples / details.idc 200
12:07:56 10.22.1.81 GET / scripts / samples / details.idc 200
12:07:56 10.22.1.81 HEAD / scripts / samples / ctguestb.idc 200
12:07:56 10.22.1.81 GET / scripts / samples / ctguestb.idc 200
12:07:56 10.22.1.81 HEAD / scripts / tools / newdsn.exe 404
12:07:56 10.22.1.81 HEAD / msadc / Msadcs.dll 200
12:07:56 10.22.1.81 GET / scripts / iisadmin / bdir.htr 200
12:07:56 10.22.1.81 HEAD / carbo.dll 404
12:07:56 10.22.1.81 HEAD / scripts / proxy / 403
12:07:56 10.22.1.81 HEAD / scripts/proxy/w3proxy.dll 500
12:07:56 10.22.1.81 GET / scripts/proxy/w3proxy.dll 500
Apache
08/Oct/2002 10.22.1.80-[: 12:57:28 -0700] "GET / cfcache.map HTTP/1.0" 404 266
08/Oct/2002 10.22.1.80-[: 12:57:28 -0700] "GET / cfide / Amministratore / startstop.html HTTP/1.0" 404 289
08/Oct/2002 10.22.1.80-[: 12:57:28 -0700] "GET / cfappman / index.cfm HTTP/1.0" 404 273
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cgi-bin / HTTP/1.0" 403 267
08/Oct/2002 10.22.1.80-[: 00:57:29 -0700] "GET / cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
10.22.1.80-[08/Oct/2002: 00:57:29 -0700] "HEAD / _vti_inf.html HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0700] "HEAD / _vti_pvt / HTTP/1.0" 404 0
08/Oct/2002 10.22.1.80-[: 00:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/webdist.cgi" 404 0
08/Oct/2002 10.22.1.80-[: 00:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/handler" 404 0
08/Oct/2002 10.22.1.80-[: 00:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/wrap" 404 0
08/Oct/2002 10.22.1.80-[: 00:57:29 -0700] "HEAD / HTTP/1.0 cgi-bin/pfdisplay.cgi" 404
Controlla questo attacco, la chiave è di vedere lo stesso indirizzo IP sulla cartella cgi (IIS è lo script, Apache è il cgi-bin), file di uno stato di domanda appare più di 404. Poi dobbiamo verificare le opportune procedure di sicurezza cartella cgi.
5. Attacco a lungo raggio
Qui l'attacco mirato MDAC IIS, ad esempio, per capire l'attacco a lungo raggio nel record di log nel caso. MDAC vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire qualsiasi comando server web.
17:48:49 10.22.1.80 GET / msadc / Msadcs.dll 200
17:48:51 10.22.1.80 POST / msadc / Msadcs.dll 200
Quando l'attacco è avvenuto, il registro rimarrà in Msadcs.dll documenti richiesti.
Un altro noto asp attacchi di codice sorgente di vulnerabilità di fuga, quando si verificano tali attacchi, i file di registro avrà i seguenti documenti:
17:50:13 10.22.1.81 GET / default.asp +. Htr 200
Per gli attacchi registrare l'accesso non autorizzato, log di Apache mostrerà:
[08/Oct/2002: 18:58:29 -0700] "GET / private / HTTP/1.0" 401 462
6. Sintesi
requisiti del sito per un sistema di sicurezza, i manager di sicurezza hanno il senso comune e la vigilanza, da diverse fonti di conoscenza non solo di sicurezza contro gli attacchi che sono avvenuti, ma anche in attacco si verifica per ottenere una migliore prevenzione. File di log attraverso di capire e prevenire gli attacchi è molto importante ma spesso trascurato affatto facile.
IDS (Intrusion Detection System) può aiutare molto, ma non può sostituire la gestione della sicurezza. Entra doppio controllo, IDS manca qualcosa, si può trovare qui.