Vandaag het netwerk, meer en meer mensen de aandacht voor veiligheid, veiligheid van het netwerk milieu in het gebouw, de technische middelen te beheren aspecten van het stelsel van geleidelijke verbetering van het opzetten van een firewall, intrusion 检测 systeem te installeren en zo verder. Echter, uitgebreide netwerk veiligheid een probleem is, negeren wat punt zal emmer effect te veroorzaken, wordt het hele beveiligingssysteem dummy. Dit artikel analyseert webserver regiserenverslagen om zwakheden te identificeren en te voorkomen aanvallen, om zo te verbeteren webserver veiligheid.
Web services is het internet, dat biedt de grootste, uiteraard meest voorkomende diensten, een verscheidenheid van Web-server aanvallen is ook de grootste van, gebruiken we de soorten van maatregelen om aanslagen te voorkomen Hij invasie, webserver, Ji Lu Qi Zhong oog meest directe meest voorkomende, maar ook Een meer effectieve aanpak, maar bij zeer grote regiserenverslagen, regiserenverslagen is een zeer gecompliceerde kijk op de dingen, als de greep van de sleutel, de aanvaller over het hoofd gezien zouden gemakkelijk kunnen worden aanwijzingen. De volgende twee categorieën op de meest populaire webserver: Apache en IIS te doen experimenten aan te vallen en vervolgens aanvalt een aantal records zijn gevonden aanwijzingen om passende maatregelen te nemen ter versterking van preventie.
1. Standaardwebadres record
Voor IIS, de standaard record opgeslagen in c: \ winnt \ system32 \ logfiles \ W3SVC1, de bestandsnaam die is de datum van vandaag, opnameformaat is een standaard W3C uitgebreid log-formaat, kan een verscheidenheid van log analyse tools voor de analyse, de standaard-formaat, inclusief de tijd , IP-adres bezoeker, toegang methode (GET of POST ...), de aangevraagde bron, HTTP-status (in cijfers) en ga zo maar door. Voor een van de HTTP-status, weten we dat een succesvol bezoek 200-299; 300-399 de noodzaak voor client-side reactie op het verzoek te voldoen aangeven; 400-499 and 500-599 blijkt dat de client en de server fouten; die gemeenschappelijke hulpbronnen, zoals de 404 die niet te vinden , 403 dat de toegang verboden is.
Apache's standaard record opgeslagen in / usr / local / apache / logs, een van de meest nuttige documentatie is access_log, het formaat, met inbegrip van client-IP, persoonlijk merkteken (meestal lege), gebruikersnaam (indien nodig authenticatie), toegang methode ( GET of POST ...), HTTP-status, en het aantal bytes dat wordt overgedragen.
2. Om informatie te verzamelen
We simuleren de gebruikelijke wijze van het hacken van de server, eerst informatie verzamelen en vervolgens stap voor stap de uitvoering van de invasie van een remote commando. Wij maken gebruik van het gereedschap is netcat1.1 voor Windows, Web-server ip is 10.22.1.100, client-IP is: 10.22.1.80.
C: nc-n 10.22.1.100 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Datum: de zon 08.10.2002 14:31:00 GMT
Content-Type: text / html
Set-Cookie: ASPSESSIONIDGQQQQQPA = IHOJAGJDECOLLGIBNKMCEEED; path = /
Cache-control: private
IIS en Apache om in te loggen om het volgende scherm:
IIS: 15:08:44 10.22.1.80 HEAD / Default.asp 200
Linux: 10.22.1.80 - [08/Oct/2002: 15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
De activiteiten van de bovenstaande normaal uit, noch zal het enkel effect hebben op de server, maar het is meestal een voorbode te vallen.
3. Website spiegel
Hackers vaak een kopie van een site te helpen bij een aanval op de server, het gereedschap gebruikt om de Teleport Pro Windows spiegel, en Unix onder Wget.
We gebruiken de volgende tool deze twee platen van de informatie in de server:
16:28:52 10.22.1.80 GET / Default.asp 200
16:28:52 10.22.1.80 GET / robots.txt 404
16:28:52 10.22.1.80 GET / header_protecting_your_privacy.gif 200
16:28:52 10.22.1.80 GET / header_fec_reqs.gif 200
16:28:55 10.22.1.80 GET / photo_contribs_sidebar.jpg 200
16:28:55 10.22.1.80 GET / g2klogo_white_bgd.gif 200
16:28:55 10.22.1.80 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / Default.asp 200
16:49:01 10.22.1.81 GET / robots.txt 404
16:49:01 10.22.1.81 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / g2klogo_white_bgd.gif 200
16:49:01 10.22.1.81 GET / photo_contribs_sidebar.jpg 200
16:49:01 10.22.1.81 GET / header_fec_reqs.gif 200
16:49:01 10.22.1.81 GET / header_protecting_your_privacy.gif 200
10.22.1.80 is het gebruik van wget's Unix-client, 10.22.1.81 is het gebruik van de Teleport pro's Windows client, alle verzoeken om robots.txt-bestand, is Robots.txt verzocht geen gebruik te maken wanneer het beeld-bestand naar de. Dus, het robots.txt-bestand op het verzoek te zien, dat er een poging tot spiegel. Natuurlijk, Wget en Teleport pro-client, kunt u handmatig verbod op het robots.txt-bestand, dan naar manieren om te zien of er vanaf hetzelfde IP-adres aan de verdubbeling van de middelen verzoeken te identificeren.
4. Vulnerability scanning
Met de ontwikkeling van een aanval, kunnen we een Web Vulnerability Check software gebruiken, zoals Whisker, controleert alle bekende gaten te dichten, zoals de CGI-programma leidt tot potentiële veiligheidsrisico's, etc.. Hier is de IIS en Apache Whisker1.4 gerelateerde records:
IIS
12:07:56 10.22.1.81 GET / SiteServer / Uitgeverij / viewcode.asp 404
12:07:56 10.22.1.81 GET / msadc / samples / adctest.asp 200
12:07:56 10.22.1.81 GET / advworks / uitrusting / catalog_type.asp 404
12:07:56 10.22.1.81 GET / iisadmpwd/aexp4b.htr 200
12:07:56 10.22.1.81 HEAD / scripts / samples / details.idc 200
12:07:56 10.22.1.81 GET / scripts / samples / details.idc 200
12:07:56 10.22.1.81 HEAD / scripts / samples / ctguestb.idc 200
12:07:56 10.22.1.81 GET / scripts / samples / ctguestb.idc 200
12:07:56 10.22.1.81 HEAD / scripts / tools / newdsn.exe 404
12:07:56 10.22.1.81 HEAD / msadc / Msadcs.dll 200
12:07:56 10.22.1.81 GET / scripts / iisadmin / bdir.htr 200
12:07:56 10.22.1.81 HEAD / carbo.dll 404
12:07:56 10.22.1.81 HEAD / scripts / proxy / 403
12:07:56 10.22.1.81 HEAD / scripts/proxy/w3proxy.dll 500
12:07:56 10.22.1.81 GET / scripts/proxy/w3proxy.dll 500
Apache
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / HTTP/1.0 cfcache.map" 404 266
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cfide / administrateur / startstop.html HTTP/1.0" 404 289
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cfappman / index.cfm HTTP/1.0" 404 273
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cgi-bin / HTTP/1.0" 403 267
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "GET / HTTP/1.0 cgi-bin/dbmlparser.exe" 404 277
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / _vti_inf.html HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / _vti_pvt / HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / cgi-bin/webdist.cgi HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / cgi-bin/handler HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / cgi-bin/wrap HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / cgi-bin/pfdisplay.cgi HTTP/1.0" 404
Check deze aanval, de sleutel is om te zien hetzelfde IP-adres op de cgi directory (IIS is de scripts, Apache is de cgi-bin-bestand) een verzoek staat lijkt meer dan 404. Dan moeten we controleren de juiste procedures cgi directory veiligheid.
5. Long-range aanval
Hier zijn we gericht op de MDAC IIS aanval, bijvoorbeeld, om de lange-afstands aanval in het logboek in de zaak te begrijpen. MDAC beveiligingslek kan een aanvaller op alle commando's webserver uit te voeren.
17:48:49 10.22.1.80 GET / msadc / Msadcs.dll 200
17:48:51 10.22.1.80 POST / msadc / Msadcs.dll 200
Toen de aanval plaatsvond, zal de log verblijf op Msadcs.dll gevraagde gegevens.
Een andere beroemde aanval is de ASP-bron-code lek kwetsbaarheid, wanneer deze aanslagen plaatsvinden, logboekbestanden hebben de volgende records:
17:50:13 10.22.1.81 GET / default.asp +. Htr 200
Voor het record ongeautoriseerde toegang aanslagen, zal Apache log laten zien:
[08/Oct/2002: 18:58:29 -0700] "GET / private / HTTP/1.0" 401 462
6. Samenvatting
Site eisen voor een beveiligingssysteem, security managers hebben het gezond verstand en waakzaam te zijn, uit verschillende bronnen van kennis niet alleen over de beveiliging tegen aanvallen die zich hebben voorgedaan, maar ook op de aanval zal optreden tot een betere preventie te bereiken. Log-bestand door middel van te begrijpen en het voorkomen van aanslagen is zeer belangrijk, maar vaak over het hoofd gezien betekent eenvoudig.
IDS (Intrusion Detection System) kan u helpen een hoop, maar het kan geen vervanging van het security management. Double-check Aanmelden, IDS iets ontbreekt, kunt u hier vinden.