Dagens nettverk, sikkerhet fikk mye oppmerksomhet, å bygge et nettverk sikkerhetsmiljø, de tekniske midler og styringssystem, og så har gradvis styrket, og sette opp en brannmur, inntrenging oppdagelse etc. installert. Det er imidlertid omfattende nettverkssikkerhet et problem, ignorere hvilket punkt vil føre bøtte effekt, gjør det hele sikkerhetssystem dummy. Denne artikkelen analyserer webserver logger poster for å identifisere svakheter og forebygge angrep, slik som å forbedre webserver sikkerhet.
Web-tjenester fra Internett mest, er den mest omfattende tjenester, en rekke web-server angrep mest naturlig, har vi innført mange tiltak for å hindre angrep og inntrenging, som vise webserveren rekord er den mest direkte, de vanligste, men også En mer effektiv tilnærming, men svært store logge poster, logging poster er et svært komplisert syn på ting, hvis nøkkelen grep, vil angriperen lett bli oversett ledetråder. Følgende to kategorier på de mest populære webserveren: Apache og IIS å gjøre eksperimenter for å angripe, og deretter angripe en rekke poster funnet spor til å iverksette tiltak for å styrke forebygging.
En. Standard Web-posten
For IIS, standard posten er lagret i C: \ WINNT \ system32 \ loggfiler \ w3svc1, filnavnet som er dagens dato, er posten format en standard W3C utvidet logg format, kan være en rekke log analyseverktøy til analyser, standard format, inkludert tiden , besøkendes IP-adresse, tilgang metode (GET eller POST ...), angitt ressurs, HTTP status (i tall) og så videre. For en av HTTP status, vet vi at et vellykket besøk 200-299, 300-399 tilsier behov for klientsiden respons for å møte anmodningen, 400-499 og 500-599 viser at klienten og serveren feil, der felles ressurser for eksempel 404 den som ikke finner , 403 som har tilgang er forbudt.
Apaches standard posten lagret i / usr / local / apache / loggbøker, en av de mest nyttige dokumentasjonen er access_log, dets format, inkludert klient IP, personlig mark (vanligvis tomme), brukernavn (om nødvendig godkjenning), tilgang metode ( GET eller POST ...), HTTP status, og antall byte som overføres.
To. Å innhente informasjon
Vi simulerer vanlig modus for hacking på serveren, første samle informasjon, så steg for steg gjennomføring av invasjonen av en ekstern kommando. Vi bruker verktøyet er netcat1.1 for Windows, web server ip 10.22.1.100, er klienten IP: 10.22.1.80.
C: nc-n 10.22.1.100 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Dato: Søn 8 oktober 2002 14:31:00 GMT
Content-Type: text / html
Set-Cookie: ASPSESSIONIDGQQQQQPA = IHOJAGJDECOLLGIBNKMCEEED; path = /
Cache-control: private
IIS og Apache for å logge inn for å vise følgende:
IIS: 15:08:44 10.22.1.80 Hode / Default.asp 200
Linux: 10.22.1.80 - [08/Oct/2002: 15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
Aktivitetene til de ovennevnte være vanlig, vil heller ikke ha noen innvirkning på serveren, men det er vanligvis et forspill til angrep.
Tre. Nettsted speil
Hackere ofte speilet et nettsted for å hjelpe angripe en server som ofte brukes til å speile de verktøyene du Windows, Teleport pro 和 Unix under Wget.
Vi neste bruker disse to verktøy registrerer informasjonen i server:
16:28:52 10.22.1.80 GET / Default.asp 200
16:28:52 10.22.1.80 GET / robots.txt 404
16:28:52 10.22.1.80 GET / header_protecting_your_privacy.gif 200
16:28:52 10.22.1.80 GET / header_fec_reqs.gif 200
16:28:55 10.22.1.80 GET / photo_contribs_sidebar.jpg 200
16:28:55 10.22.1.80 GET / g2klogo_white_bgd.gif 200
16:28:55 10.22.1.80 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / Default.asp 200
16:49:01 10.22.1.81 GET / robots.txt 404
16:49:01 10.22.1.81 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / g2klogo_white_bgd.gif 200
16:49:01 10.22.1.81 GET / photo_contribs_sidebar.jpg 200
16:49:01 10.22.1.81 GET / header_fec_reqs.gif 200
16:49:01 10.22.1.81 GET / header_protecting_your_privacy.gif 200
10.22.1.80 er bruk av Wget's Unix klienten, 10.22.1.81 er å bruke Teleport pro's Windows-klienten, alle forespørsler for robots.txt-fil, er Robots.txt bedt om ikke å bruke når bildet filen til. Så å se på robots.txt-filen forespørsler som forsøker å ha speilet. Selvfølgelig Wget og Teleport pro-klient, kan du manuelt forbud på robots.txt-filen tilgang, da, å finne måter å se om det er fra samme IP-adresse til duplisering av ressursen forespørsler.
4. Sårbarhet Skanning
Med utviklingen av angrepet, kan vi bruke noen Web Vulnerability finne programvare, for eksempel Whisker, sjekker den alle kjente smutthull, slik som CGI-programmet fører til potensielle sikkerhetsmessige problemer, etc.. Her er IIS og Apache kjører Whisker1.4 relaterte poster:
IIS
12:07:56 10.22.1.81 GET / SiteServer / Publisering / viewcode.asp 404
12:07:56 10.22.1.81 GET / Msadc / samples / adctest.asp 200
12:07:56 10.22.1.81 GET / advworks / utstyr / catalog_type.asp 404
12:07:56 10.22.1.81 GET / iisadmpwd/aexp4b.htr 200
12:07:56 10.22.1.81 HEAD / scripts / samples / details.idc 200
12:07:56 10.22.1.81 GET / scripts / samples / details.idc 200
12:07:56 10.22.1.81 HEAD / scripts / samples / ctguestb.idc 200
12:07:56 10.22.1.81 GET / scripts / samples / ctguestb.idc 200
12:07:56 10.22.1.81 HEAD / script / verktøy / newdsn.exe 404
12:07:56 10.22.1.81 HEAD / Msadc / Msadcs.dll 200
12:07:56 10.22.1.81 GET / scripts / IISAdmin / bdir.htr 200
12:07:56 10.22.1.81 HEAD / carbo.dll 404
12:07:56 10.22.1.81 HEAD / scripts / proxy / 403
12:07:56 10.22.1.81 HEAD / scripts/proxy/w3proxy.dll 500
12:07:56 10.22.1.81 GET / scripts/proxy/w3proxy.dll 500
Apache
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / HTTP/1.0 cfcache.map" 404 266
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cfide / Administrator / startstop.html HTTP/1.0" 404 289
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cfappman / index.cfm HTTP/1.0" 404 273
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cgi-bin / HTTP/1.0" 403 267
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "GET / HTTP/1.0 cgi-bin/dbmlparser.exe" 404 277
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / _vti_inf.html HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / _vti_pvt / HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / cgi-bin/webdist.cgi HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / cgi-bin/handler HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / cgi-bin/wrap HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 12:57:29 -0700] "HEAD / cgi-bin/pfdisplay.cgi HTTP/1.0" 404
Sjekk dette angrepet, er nøkkelen til å se det samme IP-adresse på cgi katalogen (IIS er skript, er Apache den cgi-bin-fil) forespørsler om staten synes mer enn 404. Da må vi finne de riktige prosedyrene cgi-katalog sikkerhet.
5. Langtrekkende angrep
Her har vi målrettet for MDAC IIS angrepet, for eksempel for å forstå den langtrekkende angrep i loggen postene i saken. MDAC sikkerhetsproblemet kan gi en angriper å kjøre en kommando webserver.
17:48:49 10.22.1.80 GET / Msadc / Msadcs.dll 200
17:48:51 10.22.1.80 POST / Msadc / Msadcs.dll 200
Da angrepet skjedde, vil loggen holde seg på Msadcs.dll valgte poster.
En annen velkjent angrep asp kildekoden lekkasjen sårbarhet, når slike angrep inntreffer, loggfiler vil ha følgende poster:
17:50:13 10.22.1.81 GET / default.asp +. RX 200
For posten uautorisert tilgang angrep, vil Apache logg viser:
[08/Oct/2002: 18:58:29 -0700] "GET / privat / HTTP/1.0" 401 462
Seks. Oppsummering
Site krav til et sikkerhetssystem, sikkerhet ledere har sunn fornuft og årvåkenhet om sikkerhet fra ulike kilder, ikke bare forholde seg til kunnskap om angrepene har funnet sted, men også på angrepet ville skje å gjøre det bedre mot. Loggfil gjennom å forstå og hindre angrep er svært viktig men ofte oversett betyr lett.
IDS (Intrusion Detection System) kan hjelpe deg mye, men det kan ikke erstatte sikkerhetsadministrasjon. Dobbeltsjekke Log, er IDS noe som mangler, kan du finne her.