从服务器的记录寻找黑客的蛛丝马迹

当服务器被攻击时，最容易被人忽略的地方，就是记录文件，服务器的记录文件了黑客活动的蛛丝马迹。
IIS的预设记录文件地址在 c:\winnt\system32\logfiles
(各个网站的IIS日志属性-->常规选项卡-->日志文件名记录了相应的文件夹)
一般而言，如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求。
300到399代表必须由客户端采取动作才能满足所提出的要求。
400到499和500到599代表客户端和服务器有问题。
最常见的状态代码有两个：
一个是404，代表客户端要求的资源不在服务器上，
403代表的是所要求的资源拒绝服务。

网页服务器版本是很重要的信息，黑客一般先向网页服务器提出要求，让服务器送回本身的版本信息
IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200  
虽然这类要求合法，看似很平常，不过却常常是网络攻击的前奏曲。

黑客还可以用网页漏洞稽核软件：Whisker（主要是检查有没有cgi-bin程序，这种程序会让系统产生安全漏洞）。
大家要侦测这类攻击的关键，就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息，就可以分析对方要求的资源；于是它们就会拼命要求提供 cgi-bin scripts（Apache 服务器的 cgi-bin 目录；IIS服务器的 scripts目录）。 

接下来我要向大家示范两种常见的网页服务器攻击方式，分析服务器在受到攻击后黑客在记录文件中痕迹。 
（1）MDAC攻击
MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器，记录文件就会记下客户端曾经呼叫msadcs.dll文档：
17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200 
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200
（2）利用原始码漏洞
第二种攻击方式也很普遍，就是会影响ASP和Java网页的暴露原始码漏洞。 最晚被发现的安全漏洞是 +.htr 臭虫，这个bug会显示ASP原始码。 如果有人利用这个漏洞攻击，就会在IIS的记录文件里面留下这些线索： 
17:50:13 11.1.2.80 GET /default.asp+.htr 200  

[本日志由 admin 于 2022-12-31 00:25 AM 编辑]
文章来自: 本站原创
引用通告地址: http://www.cn-sohu.com/bolg/trackback.asp?tbID=103
Tags: