現(xiàn)在的web服務(wù)入侵當(dāng)中,大多數(shù)都是利用網(wǎng)站程序所存在的漏洞從而得到webshell,進(jìn)行主機(jī)的內(nèi)部入侵的,我們可以利用windows的IIS日志當(dāng)中得到黑客入侵的手法以及相關(guān)的操作。IIS日志的默認(rèn)目錄就是%systemroot%\\system32\\logfiles\\,日志文件名是按照日期進(jìn)行命令的,而記錄格式是標(biāo)準(zhǔn)的W3C標(biāo)準(zhǔn)進(jìn)行記錄的,而其日志的格式是以日期/時(shí)間/IP地址/訪問動作(GET OR POST)/被訪問地址/訪問端口/來訪IP地址等。而訪問狀態(tài)的表示,我們可以知道200-299是表示訪問成功;300-399是表示需要客戶端的反應(yīng)來滿足請求;400-599分別表示了客戶端以及服務(wù)器出錯,而404和403就是我們通常所見的資源無法找到和訪問被限制。
一.信息收集
當(dāng)服務(wù)器開放IIS服務(wù)后,就會收到不同的訪問請求。如何去分析哪些是入侵者所造成的了?通常的入侵手法,首先是信息收集(踩點(diǎn)),入侵者會利用掃描器去掃描目標(biāo)主機(jī)的開放服務(wù)以及服務(wù)器的敏感信息,這樣子就會在掃描IIS的時(shí)候留下大量的掃描記錄了。在以下的IIS日志當(dāng)中我們就可以看到掃描器留下針對 80端口的掃描記錄。
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../.././winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:29 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
根據(jù)以上的日志我們可以分析得知,192.168.111.2的IP地址不斷的在向IIS的CGI目錄(IIS是Scripts,Apache是 cgi-bin)的文件發(fā)送訪問請求,而且都是針對現(xiàn)行比較流行的CGI漏洞。單從這里我們就可以知道這些并非是正常的訪問請求,而是入侵者在入侵前對于服務(wù)器的IIS進(jìn)行的漏洞掃描,這時(shí)候我們就必須要去注意我們自身的IIS的CGI目錄的程序安全性了。
二.入侵痕跡分析
網(wǎng)站被入侵了,在文件當(dāng)中找不到入侵者所留下的木馬的時(shí)候,如何去利用IIS日志去尋找入侵者的操作了?
2005-01-22 17:16:58 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2005-01-22 17:17:03 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2005-01-22 17:17:03 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2005-01-22 17:17:06 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
從上面我們可以看到入侵者192.168.111.2利用dbm6.asp進(jìn)行操作,從而利用特定的木馬程序進(jìn)行主機(jī)的入侵,瀏覽主機(jī)的文件控制主機(jī)每個(gè)文件。IIS會記錄每個(gè)用戶操作,讓管理員可以輕松的分析,每個(gè)動作和每一個(gè)事件的起因。往就是因?yàn)檫@樣子的記錄我們就可以找到入侵者留下的蛛絲馬跡了!就好像現(xiàn)在比較流行的旁注入侵手法一樣,有了工具就可以完全自動化的進(jìn)行入侵了,首先程序會不斷的向網(wǎng)站進(jìn)行上傳頁面的掃描,然后利用有漏洞的上傳頁面進(jìn)行上傳WEBSHELL!我們從下面的信息可以看到:
14:41:11 127.0.0.1 GET /bbs/upfile.asp 404
14:41:11 127.0.0.1 GET /data/dvbbs7.mdb 404
14:41:11 127.0.0.1 GET /databackup/dvbbs7.mdb 404
14:41:11 127.0.0.1 GET /upfile.asp 404
14:41:11 127.0.0.1 GET /bbs/down_addsoft.asp 404
14:41:11 127.0.0.1 GET /down_addsoft.asp 404
14:41:11 127.0.0.1 GET /bbs/down_picupload.asp 404
14:41:12 127.0.0.1 GET /down_picupload.asp 404
14:41:12 127.0.0.1 GET /dvbbs/upfile.asp 404
14:41:12 127.0.0.1 GET /forum/upfile.asp 404
14:41:12 127.0.0.1 GET /upfile_soft.asp 404
14:41:12 127.0.0.1 GET /upload_soft.asp 404
14:41:13 127.0.0.1 GET /bbs/down_picupfile.asp 404
14:41:13 127.0.0.1 GET /bbs/z_visual_upfile.asp 404
用戶不斷的在進(jìn)行針對上傳頁面的掃描,基于這樣子的操作痕跡,我們就應(yīng)該開始注意到網(wǎng)站是否已經(jīng)成為了入侵者打算攻擊的目標(biāo)。
三.遠(yuǎn)程攻擊
IIS服務(wù)會受到來自內(nèi)部以及外部的攻擊,在這么多的遠(yuǎn)程攻擊當(dāng)中Webdav的遠(yuǎn)程溢出都算是經(jīng)典的了!我曾經(jīng)利用這個(gè)漏洞入侵了很多的主機(jī)!首先說說的是Webdav遠(yuǎn)程溢出漏洞的資料:
WebDav是IIS中的一個(gè)組件。IIS5 默認(rèn)提供了對WebDAV的支持,通過WebDAV可以通過HTTP向用戶提供遠(yuǎn)程文件存儲的服務(wù)。
IIS 5.0包含的WebDAV組件使用了ntdll.dll中的一些函數(shù),此函數(shù)沒有充分檢查傳遞給部分系統(tǒng)組件的數(shù)據(jù),遠(yuǎn)程攻擊者利用這個(gè)溢出漏洞,通過對WebDAV的畸形對WebDAV進(jìn)行緩沖區(qū)溢出攻擊,成功利用此漏洞可以獲得system權(quán)限的shell。
當(dāng)入侵者利用這個(gè)漏洞的時(shí)候,會在IIS的日志下記錄有關(guān)的溢出代碼,因?yàn)槠年P(guān)系我就不再截圖了!從記錄下我們就可以得知入侵者利用代碼從而想到System的shell。我們就可以檢查相關(guān)的賬號以及其他的日志來確定是否已經(jīng)被入侵了!
從信息的收集以及內(nèi)部外部的攻擊,我們可以知道當(dāng)入侵者利用80端口進(jìn)行入侵的時(shí)候,我們的IIS日志會將他們的任何一點(diǎn)不少的記錄下來,從而讓我們可以得知以及分析個(gè)中的手法以及痕跡!使到我們的系統(tǒng)我們管理更加的完善安全,大家千萬不要小看了區(qū)區(qū)的一個(gè)IIS日志,它是我們在管理以及安全方面的好幫手,希望可以善用系統(tǒng)當(dāng)中每一方面的日志記錄,從里面我們可以看到系統(tǒng)的安全以及健康問題!因本人屬于網(wǎng)絡(luò)安全新手,在寫作以及分析方面尚欠成熟,如有錯誤請大家指出!謝謝!