通过日志追查骇客

迷糊

通过日志追查骇客

　　查看Web服务器记录是最直接、最常用、又比较有效的一种防范骇客(恶意黑客的称呼)的方法，但Web Log很庞大，查看起来很麻烦，如果抓不住重点，攻击线索十分容易就被忽略。下面对最流行的两类Web服务器Apache和IIS做攻击性实验，然后教大家如何在众多的Log中查到攻击者的蛛丝马迹。

　　1.默认的Web记录
　　对于IIS，其默认记录存放在C:\\Winnt\\System32\\Logfiles\\w3svc1目录中。文件名是当天的日期，记录格式采用标准的W3C扩展记录格式，可以被各种记录分析工具分析。默认的格式包括时间、访问者IP地址、访问的方法(Get or Post...)等，其中最常用的如404代码表示资源没找到，403代码表示访问被禁止。

　　Apache的默认记录存放在/usr/local/apache/logs下，其中最有用的记录文件是Access.log，其内容包括客户端IP、个人标志(一般为空)、用户名(如果需要认证)等。

　　2.收集信息
　　我们模拟骇客攻击服务器的通常模式，先是收集信息，然后通过远程命令一步步实施入侵。这里使用的工具是Netcat1.1 for Windows，Web服务器IP为10.22.1.100，客户端IP为10.22.1.80。首先在命令行模式下输入“nc -n 10.22.1.100 80”。在IIS和Apache的log里显示如下：

　　ⅡS: 15:08:44 10.22.1.80 HEAD /Default.asp 200

　　Apache:10.22.1.80- - [08/Oct/2002:15:56:39 -0700] \"HEAD / HTTP/1.0\" 200 0

　　以上的活动看上去很正常，不会对服务器产生任何影响，但这往往是攻击的前奏。

　　3.Web站点镜像
　　骇客经常镜像一个站点(也就是俗称的“肉机”)来协助攻击服务器，常用来镜像的工具有Windows下的Teleport Pro和UNIX下的Wget。

　　下面我们看看使用这两个工具后在服务器上留下的记录：

　　16:28:52 10.22.1.80 GET /Default.asp 200

　　16:28:52 10.22.1.80 GET /robots.txt 404

　　16:28:52 10.22.1.80 GET /header_protecting_your_privacy.gif 200

　　16:28:52 10.22.1.80 GET /header_fec_reqs.gif 200

　　......

　　10.22.1.80是使用Wget的UNIX客户端，10.22.1.81是使用Teleport Pro的Windows客户端，它们都请求Robots.txt文件。Robots.txt是请求没有被镜像的文件时所要用到的，所以看到有对Robots.txt文件的请求，就表明有镜像的企图。当然，在Wget和Teleport Pro客户端，可以手工禁止对Robots.txt文件的访问。辨别方法可以看是否有同一IP地址发过来的重复请求。

　　4.漏洞扫描
　　随着攻击的发展，我们可以使用一些检查Web漏洞的软件，如Whisker。它们可以检查已知的各种漏洞，如CGI程序导致的安全隐患等。下面是运行Whisker1.4后，在的IIS和Apache里留下的相关记录：

　　ⅡS

　　12:07:56 10.22.1.81 GET /SiteServer/Publishing/viewcode.asp 404

　　12:07:56 10.22.1.81 GET /msadc/samples/adctest.asp 200

　　......

　　Apache

　　10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfcache.map HTTP/1.0\" 404 266

　　10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfide/Administrator/startstop.html HTTP/1.0\" 404 289

　　......

　　检查这种恶意扫描的关键是看同一IP地址对CGI目录(ⅡS是scripts，Apache是cgi-bin)文件请求是否出现多个404代码。

　　5.远程攻击
　　下面我们以针对ⅡS的MDAC攻击为例，来了解远程攻击在Log里的记录情况。MDAC漏洞会让攻击者可以在Web服务器端执行任何命令。

　　当攻击发生后，在Log中会留下对msadcs.dll请求的记录：

　　17:48:49 10.22.1.80 GET /msadc/msadcs.dll 200

　　17:48:51 10.22.1.80 POST /msadc/Msadcs.dll 200

　　另一个有名的攻击是ASP源代码泄漏的漏洞，当这种攻击发生时，Log文件也会有如下记录：

　　17:50:13 10.22.1.81 GET /default.asp+.htr 200

　　对于未授权访问的攻击记录，Apache log则会显示：

　　[08/Oct/2002:18:58:29 -0700] \"GET /private/ HTTP/1.0\" 401 462

　　6.总结
　　管理一个安全站点要求系统管理人员具备安全的常识和警惕性。从不同的渠道了解安全的知识不仅能对付已发生的攻击，而且还能对将会发生的攻击提前做好防范。通过Log文件来了解防范攻击是很重要的，但又经常容易被忽略。

zbism

grdfxhgjhgytuiyret