在這里，我為大家介紹一下兩種常見的網(wǎng)頁服務(wù)器中最重要的記錄文件，分析服務(wù)器遭到攻擊后，黑客在記錄文件中會留下什么記錄。目前最常見的網(wǎng)頁服務(wù)器有兩種：Apache和微軟的Internet Information Server（簡稱IIS），這兩種服務(wù)器都有一般版本和SSL認(rèn)證版本。本文將使用和現(xiàn)實(shí)黑客的攻擊手段類似的攻擊方法去測試服務(wù)器并分析相關(guān)文件，有條件的朋友可在自己的機(jī)器上測試。
IIS的預(yù)設(shè)記錄文件地址在C:\winnt\system32\logfiles\w3svc1目錄下，文件名是當(dāng)天的日期，如yymmdd.log，系統(tǒng)會每天產(chǎn)生新的記錄文件。預(yù)設(shè)的格式是W3C延伸記錄文件格式（W3C Extended Log File Format），很多相關(guān)軟件都可以分析這種格式的檔案。記錄文件在預(yù)設(shè)的狀況下會記錄時間、客戶端IP地址、Method（GET、POST等）、URI stem（要求的資源）和HTTP狀態(tài)（數(shù)字狀態(tài)代碼）。這些字段大部分都一看就懂，只是HTTP狀態(tài)需要有大概的了解。

小知識：一般而言，如果代碼是在200到299代表成功。常見的200狀態(tài)碼代表符合客戶端的要求；300到399代表必須由客戶端采取動作才能滿足所提出的要求；400到499和500到599代表客戶端和服務(wù)器有問題。最常見的狀態(tài)代碼有兩個，一個是404，代表客戶端要求的資源不在服務(wù)器上，403代表的是所要求的資源拒絕服務(wù)。

Apache記錄文件的預(yù)設(shè)儲存位置在/usr/local/apache/logs，最有價值的記錄文件是Access_log，不過 SSL_request_log和SSL_engine_log也能提供有用的資料。 Access_log記錄文件有七個字段，包括客戶端IP地址、特殊人物識別符、用戶名稱、日期、Method Resource Protocol（GET、POST等；要求哪些資源；協(xié)議版本）、HTTP狀態(tài)、還有傳輸?shù)淖止?jié)。

常規(guī)探測手段的記錄分析
網(wǎng)頁服務(wù)器版本是很重要的信息，黑客一般先向網(wǎng)頁服務(wù)器提出要求，讓服務(wù)器送回本身的版本信息：只要把「HEAD / HTTP/1.0」這個字符串用常見的Netcat utility（相關(guān)資料網(wǎng)址http://www.l0pht.com/~weld/netcat/）和OpenSSL binary（相關(guān)資料網(wǎng)址http://www.openssl.org/）送到開放服務(wù)器的通訊端口就成了。注意看下面的示范：

C:>nc -n 10.0.2.55 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Mar 2004 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private

　　這種形式的要求在IIS和Apache的記錄文件中會生成以下記錄：

IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200
Linux: 11.1.2.80 - - [08/Mar/2004:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

　　雖然這類要求合法，看似很平常，不過卻常常是網(wǎng)絡(luò)攻擊的前奏曲。Access_log和IIS的記錄文件沒有表明這個要求是連到SSL服務(wù)器還是一般的網(wǎng)頁服務(wù)器，可是Apache的 SSL_request_log和SSL_engine_log（在/usr/local/apache/logs目錄下）記錄文件就會記錄是否有聯(lián)機(jī)到SSL服務(wù)器。請看以下的SSL_request_log記錄文件：

[07/Mar/2004:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0

　　第三和第四個字段表示客戶端使用的是哪種加密方式，以下的SSL_request_log分別記錄從OpenSSL、Internet Explorer和Netscape客戶端程序發(fā)出的要求：
[07/Mar/2004:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2004:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2004:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2004:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
     另外黑客通常會復(fù)制目標(biāo)網(wǎng)站，也就是所謂的鏡射網(wǎng)站，用它來取得發(fā)動攻擊所需要的信息。網(wǎng)頁原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復(fù)制網(wǎng)站常用的工具包括窗口系統(tǒng)的Teleport Pro（網(wǎng)址http://www.tenmax.com/teleport/pro/home.htm）和Unix系統(tǒng)的Wget（網(wǎng)址http://www.gnu.org/manual/wget/）。在這里我為大家分析Wget和TeleportPro這兩個軟件攻擊網(wǎng)頁服務(wù)器后記錄文件中的內(nèi)容：這兩個軟件能全面快速搜尋整個網(wǎng)站，對所有公開的網(wǎng)頁提出要求。只要檢查一下記錄文件就知道，要知道這是鏡射這個動作是很簡單的事。以下是IIS的記錄文件：

16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

這里的11.1.2.80這個主機(jī)是Unix系統(tǒng)的客戶端，是用Wget軟件發(fā)出請求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
這里的11.1.1.50系統(tǒng)是窗口環(huán)境的客戶端，用的是TeleportPro發(fā)出的請求。

　　小提示：以上兩個主機(jī)都要求Robots.txt這個文檔，其實(shí)這個檔案是網(wǎng)頁管理員的工具，作用是防止Wget和TeleportPro這類自動抓文件軟件對某些網(wǎng)頁從事抓取或搜尋的動作。如果有人提出Robots.txt檔的要求，常常代表是要鏡射整個網(wǎng)站。但TeleportPro和Wget這兩個軟件都可以把要求Robots.txt這個文件的功能取消。

黑客還可以用網(wǎng)頁漏洞稽核軟件Whisker（網(wǎng)址http://www.wiretrip.net/）來偵查網(wǎng)頁服務(wù)器有沒有安全后門。以下是IIS和Apache網(wǎng)頁服務(wù)器在執(zhí)行Whisker后產(chǎn)生的部分記錄文件：

IIS：
13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404
13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200
13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200
13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 HEAD /carbo.dll 404
13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403
13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500

Apache：
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0

　　大家要偵測這類攻擊的關(guān)鍵就在于從單一IP地址發(fā)出大量的404 HTTP狀態(tài)代碼。只要注意到這類信息，就可以分析對方要求的資源，于是它們就會拼命要求提供Cgi-bin scripts（Apache服務(wù)器的cgi-bin目錄；IIS服務(wù)器的Scripts目錄）。

　　網(wǎng)頁如果被人探訪過，總會在記錄文件留下什么線索。如果網(wǎng)頁管理員警覺性夠高，應(yīng)該會把分析記錄文件作為追查線索，并且在檢查后發(fā)現(xiàn)網(wǎng)站真的有漏洞時，就能預(yù)測會有黑客攻擊網(wǎng)站。

直接攻擊及記錄分析
　　接下來我要向大家示范兩種常見的網(wǎng)頁服務(wù)器攻擊方式，分析服務(wù)器在受到攻擊后黑客在記錄文件中痕跡。

1．MDAC攻擊

　　MDAC攻擊法可以讓網(wǎng)頁的客戶端在IIS網(wǎng)頁服務(wù)器上執(zhí)行命令。如果有人開始攻擊IIS服務(wù)器，記錄文件就會記下客戶端曾經(jīng)呼叫Msadcs.dll文檔：

17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200

2．利用原始碼漏洞

　　第二種攻擊方式也很普遍，就是會影響ASP和Java網(wǎng)頁的暴露原始碼漏洞。古老的安全漏洞是+.htr臭蟲，這個BUG會顯示ASP原始碼。如果有人利用這個漏洞攻擊，就會在IIS的記錄文件里面留下這些線索：

17:50:13 11.1.2.80 GET /default.asp+.htr 200

3．權(quán)限問題
　　網(wǎng)頁常會只讓有權(quán)限的使用者進(jìn)入，接下來我們要讓各位看 Apache的Access_log記錄文件會在登錄失敗時留下什么線索：

12.1.2.8 - user [08/Mar/2004:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

第三欄里面的使用者名稱是「user」。還有要注意HTTP的狀態(tài)代號是401，代表非法存取。

Apache和IIS的類比和相關(guān)的攻擊與記錄就分析到這里，這里只是引用了幾個比較常見的，同時又能體現(xiàn)出兩者差異和共同點(diǎn)的例子，大家完全可以根據(jù)自己喜歡的方式去測試服務(wù)器，比如現(xiàn)在流行的SQL注入和上傳漏洞等，相信這樣才能真正做到攻防對抗！

最新評論