IISApache 攻擊記錄分析篇

2024-08-27 18:30:06

字體：大中小

來源：轉載

供稿：網友

在這里，我為大家介紹一下兩種常見的網頁服務器中最重要的記錄文件，分析服務器遭到攻擊后，黑客在記錄文件中會留下什么記錄。目前最常見的網頁服務器有兩種：Apache和微軟的Internet Information Server（簡稱IIS），這兩種服務器都有一般版本和SSL認證版本。本文將使用和現實黑客的攻擊手段類似的攻擊方法去測試服務器并分析相關文件，有條件的朋友可在自己的機器上測試。
IIS的預設記錄文件地址在C:/winnt/system32/logfiles/w3svc1目錄下，文件名是當天的日期，如yymmdd.log，系統會每天產生新的記錄文件。預設的格式是W3C延伸記錄文件格式（W3C Extended Log File Format），很多相關軟件都可以分析這種格式的檔案。記錄文件在預設的狀況下會記錄時間、客戶端IP地址、Method（GET、POST等）、URI stem（要求的資源）和HTTP狀態（數字狀態代碼）。這些字段大部分都一看就懂，只是HTTP狀態需要有大概的了解。

小知識：一般而言，如果代碼是在200到299代表成功。常見的200狀態碼代表符合客戶端的要求；300到399代表必須由客戶端采取動作才能滿足所提出的要求；400到499和500到599代表客戶端和服務器有問題。最常見的狀態代碼有兩個，一個是404，代表客戶端要求的資源不在服務器上，403代表的是所要求的資源拒絕服務。

Apache記錄文件的預設儲存位置在/usr/local/apache/logs，最有價值的記錄文件是Access_log，不過 SSL_request_log和SSL_engine_log也能提供有用的資料。 Access_log記錄文件有七個字段，包括客戶端IP地址、特殊人物識別符、用戶名稱、日期、Method Resource Protocol（GET、POST等；要求哪些資源；協議版本）、HTTP狀態、還有傳輸的字節。

常規探測手段的記錄分析
網頁服務器版本是很重要的信息，黑客一般先向網頁服務器提出要求，讓服務器送回本身的版本信息：只要把「HEAD / HTTP/1.0」這個字符串用常見的Netcat utility（相關資料網址

~weld/netcat/）和OpenSSL binary（相關資料網址

）送到開放服務器的通訊端口就成了。注意看下面的示范：

C:>nc -n 10.0.2.55 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Mar 2004 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private

　　這種形式的要求在IIS和Apache的記錄文件中會生成以下記錄：

IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200
Linux: 11.1.2.80 - - [08/Mar/2004:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

　　雖然這類要求合法，看似很平常，不過卻常常是網絡攻擊的前奏曲。Access_log和IIS的記錄文件沒有表明這個要求是連到SSL服務器還是一般的網頁服務器，可是Apache的 SSL_request_log和SSL_engine_log（在/usr/local/apache/logs目錄下）記錄文件就會記錄是否有聯機到SSL服務器。請看以下的SSL_request_log記錄文件：

[07/Mar/2004:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0

　　第三和第四個字段表示客戶端使用的是哪種加密方式，以下的SSL_request_log分別記錄從OpenSSL、Internet Explorer和Netscape客戶端程序發出的要求：
[07/Mar/2004:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2004:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2004:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2004:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
另外黑客通常會復制目標網站，也就是所謂的鏡射網站，用它來取得發動攻擊所需要的信息。網頁原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復制網站常用的工具包括窗口系統的Teleport Pro（網址

）和Unix系統的Wget（網址

）。在這里我為大家分析Wget和TeleportPro這兩個軟件攻擊網頁服務器后記錄文件中的內容：這兩個軟件能全面快速搜尋整個網站，對所有公開的網頁提出要求。只要檢查一下記錄文件就知道，要知道這是鏡射這個動作是很簡單的事。以下是IIS的記錄文件：

16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

這里的11.1.2.80這個主機是Unix系統的客戶端，是用Wget軟件發出請求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
這里的11.1.1.50系統是窗口環境的客戶端，用的是TeleportPro發出的請求。

　　小提示：以上兩個主機都要求Robots.txt這個文檔，其實這個檔案是網頁管理員的工具，作用是防止Wget和TeleportPro這類自動抓文件軟件對某些網頁從事抓取或搜尋的動作。如果有人提出Robots.txt檔的要求，常常代表是要鏡射整個網站。但TeleportPro和Wget這兩個軟件都可以把要求Robots.txt這個文件的功能取消。

黑客還可以用網頁漏洞稽核軟件Whisker（網址

）來偵查網頁服務器有沒有安全后門。以下是IIS和Apache網頁服務器在執行Whisker后產生的部分記錄文件：

IIS：
13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404
13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200
13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200
13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 HEAD /carbo.dll 404
13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403
13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500

Apache：
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0

　　大家要偵測這類攻擊的關鍵就在于從單一IP地址發出大量的404 HTTP狀態代碼。只要注意到這類信息，就可以分析對方要求的資源，于是它們就會拼命要求提供Cgi-bin scripts（Apache服務器的cgi-bin目錄；IIS服務器的Scripts目錄）。

　　網頁如果被人探訪過，總會在記錄文件留下什么線索。如果網頁管理員警覺性夠高，應該會把分析記錄文件作為追查線索，并且在檢查后發現網站真的有漏洞時，就能預測會有黑客攻擊網站。

直接攻擊及記錄分析
　　接下來我要向大家示范兩種常見的網頁服務器攻擊方式，分析服務器在受到攻擊后黑客在記錄文件中痕跡。

1．MDAC攻擊

　　MDAC攻擊法可以讓網頁的客戶端在IIS網頁服務器上執行命令。如果有人開始攻擊IIS服務器，記錄文件就會記下客戶端曾經呼叫Msadcs.dll文檔：

17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200

2．利用原始碼漏洞

　　第二種攻擊方式也很普遍，就是會影響ASP和Java網頁的暴露原始碼漏洞。古老的安全漏洞是+.htr臭蟲，這個BUG會顯示ASP原始碼。如果有人利用這個漏洞攻擊，就會在IIS的記錄文件里面留下這些線索：

17:50:13 11.1.2.80 GET /default.asp+.htr 200

3．權限問題
　　網頁常會只讓有權限的使用者進入，接下來我們要讓各位看 Apache的Access_log記錄文件會在登錄失敗時留下什么線索：

12.1.2.8 - user [08/Mar/2004:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

第三欄里面的使用者名稱是「user」。還有要注意HTTP的狀態代號是401，代表非法存取。

Apache和IIS的類比和相關的攻擊與記錄就分析到這里，這里只是引用了幾個比較常見的，同時又能體現出兩者差異和共同點的例子，大家完全可以根據自己喜歡的方式去測試服務器，比如現在流行的SQL注入和上傳漏洞等，相信這樣才能真正做到攻防對抗！

上一篇：windows2003 apache配置虛擬主機和綁定域名服務

下一篇：兩個IP實現IIS和Apache公用80端口的設置方法