Dagens nät, men jag säkerhet mycket uppmärksamhet, för att bygga en miljö nätsäkerhet, teknisk utrustning och system för hantering och så har gradvis förstärkts, och sätta upp en brandvägg, intrångsskydd, etc. installerat. Är dock omfattande nätverkssäkerhet ett problem, ignorera vad punkt kommer att orsaka hink verket gör hela trygghetssystemet dummy. Denna artikel analyserar webbservern loggar poster att identifiera sårbarheter och förebygga attacker, i syfte att öka webbserver säkerhet.
Web tjänster som tillhandahålls av de flesta Internet och mest omfattande tjänster, en mängd olika webbserver är anföll mest naturliga, har vi vidtagit ett flertal åtgärder för att förhindra attacker och intrång, som anser webbservern meritlista är det mest direkta, det vanligaste, men också En mer effektiv metod, men mycket stor skogsavverkning register, loggning register är en mycket komplicerad syn på saken, om nyckeln grepp måste angriparen lätt förbises ledtrådar. Följande två kategorier på de mest populära webbserver: Apache och IIS att göra experiment för att attackera och sedan anfalla ett antal poster funna ledtrådar att vidta lämpliga åtgärder för att stärka förebyggande åtgärder.
1. Standardwebbadress rekord
För IIS, standard rekord lagras i c: \ winnt \ system32 \ loggfiler \ w3svc1, filnamnet som är dagens datum, är Postformat en standard W3C utökade logg-format, kan vara en mängd verktyg logganalys till analys, standardformat, däribland den tid , besökarnas IP-adresser, tillgång metod (GET eller POST ...), den begärda resursen, HTTP (med siffror) och så vidare. För en av HTTP status, vet vi att ett framgångsrikt besök 200-299, 300-399 visar på behovet av klientsidan svar för att bemöta efterfrågan, 400-499 och 500-599 visar att klienten och fel server, vilka gemensamma resurser som 404 som inte hittat , 403 att tillträde är förbjudet.
Apaches default rekord lagras i / usr / local / apache / stock, en av de mest användbara dokumentationen är access_log, dess format, inklusive klient-IP, personlig märkning (vanligtvis tomma), användarnamn (om det behövs autentisering), tillgång metod ( GET eller POST ...), HTTP status, och antalet överförda byte.
2. Samla in information
Vi simulerar den vanliga sättet att hacka servern, först samla information och sedan steg för steg genomföra invasionen av en avlägsen kommando. Vi använder verktyget är netcat1.1 för fönster är webbserver ip 10.22.1.100 är klient-IP: 10.22.1.80.
C: nc-n 10.22.1.100 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Datum: Sun, 8 oktober 2002 14:31:00 GMT
Content-Type: text / html
Set-Cookie: ASPSESSIONIDGQQQQQPA = IHOJAGJDECOLLGIBNKMCEEED; path = /
Cache-control: privat
IIS och Apache för att logga in för att visa följande:
IIS: 15:08:44 10.22.1.80 HEAD / default.asp 200
Linux: 10.22.1.80 - [08/Oct/2002: 15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
Den verksamhet som ovan ser normala, och inte heller ha någon inverkan på servern, men det är oftast ett förspel till attack.
3. Webbplats spegel
Hackare spegel ofta en plats för att hjälpa attack servern, det verktyg som används för att spegla Teleport pro Windows och Unix under Wget.
Vi använder nästa dessa två verktyg registrerar de uppgifter i servern:
16:28:52 10.22.1.80 GET / default.asp 200
16:28:52 10.22.1.80 GET / robots.txt 404
16:28:52 10.22.1.80 GET / header_protecting_your_privacy.gif 200
16:28:52 10.22.1.80 GET / header_fec_reqs.gif 200
16:28:55 10.22.1.80 GET / photo_contribs_sidebar.jpg 200
16:28:55 10.22.1.80 GET / g2klogo_white_bgd.gif 200
16:28:55 10.22.1.80 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / default.asp 200
16:49:01 10.22.1.81 GET / robots.txt 404
16:49:01 10.22.1.81 GET / header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET / g2klogo_white_bgd.gif 200
16:49:01 10.22.1.81 GET / photo_contribs_sidebar.jpg 200
16:49:01 10.22.1.81 GET / header_fec_reqs.gif 200
16:49:01 10.22.1.81 GET / header_protecting_your_privacy.gif 200
10.22.1.80 är användningen av Wget s Unix-klient, 10.22.1.81 är att använda Teleport Pro Windows-klient, alla ansökningar om robots.txt-fil är Robots.txt uppmanas att inte använda när bilden filen till. Så, om filen robots.txt för att se den begäran, att det är ett försök att spegla. Naturligtvis Wget och Teleport pro-klienten kan du förbjuda manuellt på filen robots.txt tillgång alltså att finna sätt att se om det kommer från samma IP-adress till en dubblering av resurser förfrågningar.
4. Säkerhetsproblem Scanning
Med utvecklingen av attack, kan vi använda några Web Vulnerability kolla program, t.ex. Whisker kontrollerar det alla kända kryphål, såsom CGI program som leder till potentiella säkerhetsproblem, osv. Här är IIS och Apache kör Whisker1.4 relaterade poster:
IIS
12:07:56 10.22.1.81 GET / SiteServer / Publicera / viewcode.asp 404
12:07:56 10.22.1.81 GET / msadc / prover / adctest.asp 200
12:07:56 10.22.1.81 GET / advworks / utrustning / catalog_type.asp 404
12:07:56 10.22.1.81 GET / iisadmpwd/aexp4b.htr 200
12:07:56 10.22.1.81 HEAD / skript / prover / details.idc 200
12:07:56 10.22.1.81 GET / scripts / prover / details.idc 200
12:07:56 10.22.1.81 HEAD / skript / prover / ctguestb.idc 200
12:07:56 10.22.1.81 GET / scripts / prover / ctguestb.idc 200
12:07:56 10.22.1.81 HEAD / scripts / tools / newdsn.exe 404
12:07:56 10.22.1.81 HEAD / msadc / Msadcs.dll 200
12:07:56 10.22.1.81 GET / scripts / IISAdmin / bdir.htr 200
12:07:56 10.22.1.81 huvud / carbo.dll 404
12:07:56 10.22.1.81 HEAD / skript / proxy / 403
12:07:56 10.22.1.81 huvud / scripts/proxy/w3proxy.dll 500
12:07:56 10.22.1.81 GET / scripts/proxy/w3proxy.dll 500
Apache
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cfcache.map HTTP/1.0" 404 266
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cfide / Handläggare / startstop.html HTTP/1.0" 404 289
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cfappman / index.cfm HTTP/1.0" 404 273
10.22.1.80-[08/Oct/2002: 12:57:28 -0700] "GET / cgi-bin / HTTP/1.0" 403 267
10.22.1.80-[08/Oct/2002: 00:57:29 -0700] "GET / cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
10.22.1.80-[08/Oct/2002: 00:57:29 -0700] "HEAD / _vti_inf.html HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0700] "HEAD / _vti_pvt / HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0700] "HEAD / cgi-bin/webdist.cgi HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0700] "HEAD / cgi-bin/handler HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0700] "HEAD / cgi-bin/wrap HTTP/1.0" 404 0
10.22.1.80-[08/Oct/2002: 00:57:29 -0700] "HEAD / cgi-bin/pfdisplay.cgi HTTP/1.0" 404
Kolla denna attack, är nyckeln till att se samma IP-adress på cgi katalog (IIS är skript är Apache cgi-bin-fil) en begäran tillstånd förefaller mer än 404. Då måste vi kontrollera att lämpliga förfaranden cgi katalog säkerhet.
5. Långväga attack
Här har vi riktat in MDAC IIS attack, till exempel för att förstå den långväga attack i loggen poster i fallet. MDAC sårbarhet kan tillåta en angripare att köra något kommando webbserver.
17:48:49 10.22.1.80 GET / msadc / Msadcs.dll 200
17:48:51 10.22.1.80 POST / msadc / Msadcs.dll 200
När attacken inträffade, kommer loggen stanna på Msadcs.dll begärda uppgifter.
En annan välkänd angrepp asp källkod läcka sårbarhet, när sådana attacker förekommer, loggfiler kommer att ha följande uppgifter:
17:50:13 10.22.1.81 GET / default.asp +. HTR 200
Till protokollet obehöriga angrepp, kommer Apache logg visar:
[08/Oct/2002: 18:58:29 -0700] "GET / privat / HTTP/1.0" 401 462
6. Sammanfattning
Webbplatsen krav på ett säkerhetssystem, säkerhetschefer har det sunda förnuft och vaksamhet, från olika källor av kunskap inte bara om att mot angrepp som har skett, men också om attacken kommer att inträffa att bättre kunna förebygga. Loggfil genom att förstå och förebygga attacker är mycket viktig men ofta förbisedd medel lätt.
IDS (Intrusion Detection System) kan hjälpa dig mycket, men det kan inte ersätta säkerhetshantering. Dubbelkolla Logg är IDS något saknas kan du hitta här.