今日のネットワークは、セキュリティ、ネットワークセキュリティ環境を構築に多くの注目を集め、技術的手段および管理システムなど徐々に強化しており、ファイアウォール、侵入検知システム等インストールを設定します。しかし、包括的なネットワークセキュリティ問題は、どのような点がバケツの効果が発生します無視全体のセキュリティシステムのダミー、なりますです。この資料では、脆弱性を識別するために予防攻撃をよう、Webサーバーのセキュリティを強化するWebサーバーのレコードを記録分析する。
Webサービスはインターネットによって提供される、最も最も広範なサービスは、Webサーバーの様々な最も自然な攻撃され、我々は多くの措置を攻撃と侵入、Webサーバーのレコードを表示しないように採用している、最も一般的な直接だけでなく、さキーグリップは、攻撃者が簡単に手がかりを見落としている場合、より効果的なアプローチが、非常に大きなログレコードは、レコードを記録することは非常に複雑なビューです。最も人気のあるWebサーバー上の次の2つのカテゴリが:ApacheおよびIIS攻撃には、実験を行うにして、多数のレコードを適切な措置を予防を強化するためかかる攻撃の痕跡を発見した。
1。既定のWeb記録
IISの場合、デフォルトのレコードではc格納されて:\ winntのは、\ w3svc1 system32に\ログファイルを\に今日の日付のファイル名は、レコード形式は、標準のW3C拡張ログ形式、分析するログ解析ツールの様々なことができますが、時間を含む既定の形式、 、訪問者のIPアドレスは、アクセスメソッドは、(GETまたはPOST)が要求されたリソース、数字でHTTPステータスを(長い目のように。 1つのHTTPのステータスについては、我々は成功の訪問が200〜299; 300〜399は、クライアント側の対応の必要性要求を満たすことを示す知っている; 400から499と500-599は、show、クライアントとサーバーエラー;共通リソース404見つかりませんでしたなど、403アクセスが禁止されます。
Apacheのデフォルトのレコードはは/ usr /ローカル/ Apacheの/ logsに、最も有用な文書の中access_logの格納さ、clientを含む形式、IPアドレス、personal mark(通常は空)、名(if necessary authentication)、アクセスメソッド(またはPOST ...), HTTPステータス、GETや転送バイト数。
2。情報を収集する
私たちは、最初に、リモートコマンドの侵略のステップ実装手順の情報を収集するサーバーをハッキング、通常のモードをシミュレートします。我々は、ツールを使用しnetcat1.1ウィンドウは、WebサーバーのIPアドレスは10.22.1.100は、クライアントのIPアドレスは:10.22.1.80。
はC: ノースカロライナ州- nを10.22.1.100 80
ヘッド/ HTTP/1.0の
HTTP/1.1の200 [OK]を
サーバー:Microsoft-IIS/4.0
日付:Sun、2002年10月8日午後2時31分00秒gmtの
コンテンツの種類:テキスト/ htmlの
のSet - Cookie:ASPSESSIONIDGQQQQQPA = IHOJAGJDECOLLGIBNKMCEEED;パス= /
キャッシュ制御:プライベート
IISとApacheは次のように表示するにはログインする:
IISは:午後03時08分44秒10.22.1.80ヘッド/ 200 default.aspを
Linuxの場合:10.22.1.80 - [08/Oct/2002:15時56分39秒-0700]"HEADの/ HTTP/1.0の"200 0
上記の顔通常の活動、また、サーバー上の任意の影響を与えるが、それは通常の序曲攻撃することです。
3。Webサイトのミラー
ハッカーたちは多くの場合、ツールがテレポートプロWindowsをミラーするために使用およびUnix Wgetが下にサイトサーバーを攻撃するためにミラーリングします。
我々は次の2つのツールのレコードをサーバー内の情報:使用して
夜04時28分52秒は10.22.1.80 / 200 default.aspをGETを
夜04時28分52秒は10.22.1.80 / 404 robots.txtのはGET
夜04時28分52秒は10.22.1.80 / 200 header_protecting_your_privacy.gifのGET
夜04時28分52秒は10.22.1.80 / 200 header_fec_reqs.gifのGET
16時28分55秒は10.22.1.80 / 200 photo_contribs_sidebar.jpgのGET
16時28分55秒は10.22.1.80 / 200 g2klogo_white_bgd.gifのGET
16時28分55秒は10.22.1.80 / 200 header_contribute_on_line.gifのGET
夜四時49分01秒は10.22.1.81 / 200 default.aspをGETを
夜四時49分01秒は10.22.1.81 / 404 robots.txtのはGET
夜四時49分01秒は10.22.1.81 / 200 header_contribute_on_line.gifのGET
夜四時49分01秒は10.22.1.81 / 200 g2klogo_white_bgd.gifのGET
夜四時49分01秒は10.22.1.81 / 200 photo_contribs_sidebar.jpgのGET
夜四時49分01秒は10.22.1.81 / 200 header_fec_reqs.gifのGET
夜四時49分01秒は10.22.1.81 / 200 header_protecting_your_privacy.gifのGET
10.22.1.80は、WgetのUnixクライアント10.22.1.81の使用はテレポートプロのWindowsクライアントを、robots.txtファイルに対するすべての要求を使用すると、Robots.txtが、画像がファイルを使用しないように要求されます。そこでミラーを持っていると、robots.txtファイルの要求で表示されます。もちろん、wgetとテレポートプロクライアントは、手動でrobots.txtファイルにアクセスし、その後、方法が同じIPアドレスからのリソース要求の重複しているかどうかを識別するために禁止することができます。
4。脆弱性スキャン
攻撃の発展に伴い、我々はウィスカーのようないくつかのWebの脆弱性チェックソフトウェアを使用できますが、cgiプログラム潜在的な安全上の問題につながるなど、すべての既知の抜け穴を、チェックします。ここではIISがApacheのWhisker1.4関連するレコードを実行している:
IISの
午前12時07分56秒は10.22.1.81のGET / SiteServerは/ Publishingは/ 404 viewcode.asp
午前12時07分56秒は10.22.1.81のGET / MSADCの/サンプル/ 200 adctest.asp
午前12時07分56秒は10.22.1.81 / advworks /機器のGET / 404 catalog_type.asp
午前12時07分56秒は10.22.1.81 / 200 iisadmpwd/aexp4b.htrのGET
/サンプル/ 200 details.idc午前12時07分56秒10.22.1.81ヘッド/スクリプト
午前12時07分56秒は10.22.1.81 /スクリプト/サンプル/ details.idc 200のGET
/サンプル/ 200 ctguestb.idc午前12時07分56秒10.22.1.81ヘッド/スクリプト
午前12時07分56秒は10.22.1.81 /スクリプト/サンプル/ ctguestb.idc 200のGET
/ツール/ 404 newdsn.exe 12時07分56秒10.22.1.81ヘッド/スクリプト
午前12時07分56秒10.22.1.81ヘッド/ MSADC分類/ msadcs.dll 200
午前12時07分56秒は10.22.1.81 / / bdir.htr 200スクリプト/ iisadminとのGET
午前12時07分56秒10.22.1.81ヘッド/ carbo.dll 404
午前12時07分56秒10.22.1.81ヘッド/スクリプト/プロキシ/ 403
午前12時07分56秒10.22.1.81ヘッド/ scripts/proxy/w3proxy.dll 500
午前12時07分56秒は10.22.1.81 / 500 scripts/proxy/w3proxy.dllのGET
アパッチ
10.22.1.80 - [08/Oct/2002は:12時57分28秒-0700]は、"/ HTTP/1.0をcfcache.mapのGET"404 266
10.22.1.80 - [08/Oct/2002は:12時57分28秒-0700]が"/ /管理者/ startstop.html HTTP/1.0の"404 289 CFIDEディレクトリのGET
10.22.1.80 - [08/Oct/2002は:12時57分28秒-0700]は、"/ GETをcfappman / index.cfmをHTTP/1.0を"404 273
10.22.1.80 - 08/Oct/2002は:午前12時57分28秒-0700]は、"/ cgi - binにはGET [/ HTTP/1.0の"403 267
10.22.1.80 - [08/Oct/2002は:12時57分29秒-0700]は、"/ HTTP/1.0をcgi-bin/dbmlparser.exeのGET"404 277
10.22.1.80 - [08/Oct/2002:12時57分29秒-0700]"HEADの/ _vti_inf.htmlをHTTP/1.0の"404 0
10.22.1.80 - [08/Oct/2002:12時57分29秒-0700]"HEADの/ _vti_pvt / HTTP/1.0の"404 0
10.22.1.80 - [08/Oct/2002:12時57分29秒-0700]"HEADの/ cgi-bin/webdist.cgi HTTP/1.0の"404 0
10.22.1.80 - [08/Oct/2002:12時57分29秒-0700]"HEADの/ cgi-bin/handlerのHTTP/1.0の"404 0
10.22.1.80 - [08/Oct/2002:12時57分29秒-0700]"HEADの/ cgi-bin/wrapのHTTP/1.0の"404 0
10.22.1.80 - [08/Oct/2002:12時57分29秒-0700]"HEADの/ cgi-bin/pfdisplay.cgi HTTP/1.0の"404
この攻撃を確認し、キーは、cgiディレクトリ(IISがスクリプトですに同じIPアドレスを表示するには、Apacheのは、cgi - bin)を要求の状態以上の404が表示されますファイルです。それからは、cgiディレクトリのセキュリティの適切な手順を確認する必要があります。
5。長距離攻撃
ここでは、たとえば、MDACのIISの攻撃をターゲットは、ケース内のログレコードの長距離攻撃を理解する。 MDACの脆弱性により、攻撃者が任意のコマンドのWebサーバーを実行する可能性があります。
17時48分49秒は10.22.1.80のGET / MSADC分類/ msadcs.dll 200
17時48分五十一秒10.22.1.80のPOST / MSADC分類/ msadcs.dll 200
攻撃が発生、ログmsadcs.dll要求レコードに滞在されます。
もう1つの既知の攻撃のASPソースコードがリークの脆弱性など、攻撃が発生すると、次のレコードを持ってするログファイルを:
午後05時50分十三秒は10.22.1.81のGET / +をdefault.aspをの。HTR 200
記録への不正アクセスの攻撃については、Apacheのログが表示されます:
[08/Oct/2002は:午後06時58分29秒-0700]は"GET /秘密/ HTTP/1.0を"401 462
6。概要
セキュリティシステムのためのサイト要件は、セキュリティ管理者は、知識の異なるソースからのセキュリティだけでなく、約発生している攻撃、常識と警戒しても攻撃の防止を達成するために発生します。ログを理解することによってファイルや攻撃を防ぐため非常に重要ですが、しばしば見落とさ容易なこと。
IDSは、(不正侵入検知システム)には多くのことができますが、それは、セキュリティ管理を置き換えることはできません。ダブルチェックのログは、IDSは何かが欠けている場合は、ここで見つけることができます。