用户登录  |  傲看软件园 用户注册
文章中心广告代码ASP源码PHP源码JSP源码.NET源码源码相关傲看留言板繁體中文
当前位置:傲看软件园文章中心电脑安全安防业界

从服务器的记录寻找黑客的蛛丝马迹(2)

减小字体 增大字体 作者:郁郁小蝎  来源:中国站长学院  发布时间:2008-10-20 20:22:57

  黑客还可以用网页漏洞稽核软件:Whisker(网址:http://www.wiretrip.net/),来侦查网页服务器有没有安全后门(主要是检查有没有cgi-bin程序,这种程序会让系统产生安全漏洞)。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件。


  IIS:

  13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404

  13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200

  13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404

  13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200

  13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200

  13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200

  13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200

  13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200

  13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404

  13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200

  13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200

  13:17:56 11.1.1.50 HEAD /carbo.dll 404

  13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403

  13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500

  13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500


  Apache:

  11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266

  11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289

  11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273

  11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267

  11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277

  11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0

  11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0

  11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0

  11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0

  11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0

  11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0


  大家要侦测这类攻击的关键,就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息,就可以分析对方要求的资源;于是它们就会拼命要求提供 cgi-bin scripts(Apache 服务器的 cgi-bin 目录;IIS服务器的 scripts目录)。


  小结


  网页如果被人探访过,总会在记录文件留下什么线索。如果网页管理员警觉性够高,应该会把分析记录文件作为追查线索,并且在检查后发现网站真的有漏洞时,就能预测会有黑客攻击网站。


  接下来我要向大家示范两种常见的网页服务器攻击方式,分析服务器在受到攻击后黑客在记录文件中痕迹。


  (1)MDAC攻击


  MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器,记录文件就会记下客户端曾经呼叫msadcs.dll文档:


  17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200

  17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200


  (2)利用原始码漏洞


  第二种攻击方式也很普遍,就是会影响ASP和Java网页的暴露原始码漏洞。 最晚被发现的安全漏洞是 +.htr 臭虫,这个bug会显示ASP原始码。 如果有人利用这个漏洞攻击,就会在IIS的记录文件里面留下这些线索:


  17:50:13 11.1.2.80 GET /default.asp+.htr 200


  网页常会只让有权限的使用者进入。接下来我们要让各位看 Apache的access_log记录文件会在登录失败时留下什么线索:


  12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462


  注:第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401,代表非法存取。


Tags:

作者:郁郁小蝎

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论

精品栏目导航

关于本站 | 网站帮助 | 广告合作 | 下载声明 | 友情连接 | 网站地图
冀ICP备08004437号 | 客服Q:354766721 | 交流群83228313
傲看软件园 - 绿色软件,破解软件下载站! 源码网 源码之家 绿软之家
Copyright © 2003-2010 OkHan.Net. All Rights Reserved .
页面执行时间:7,828.12500 毫秒
Powered by:OkHan CMS Version 4.0.0 SP2