+设为首页 +添加到收藏夹
概述
目前最常见的网页服务器有两种:apache与微软的internet information server (简称iis).这两种服务器都有一般版本与ssl认证版本,方便黑客对加密与未加密的服务器进行攻击. 【程序编程相关:9flash流量是怎样炼成的】
当服务器被攻击时,最容易被人忽略的地方,就是记录文件,服务器的记录文件了黑客活动的蛛丝马迹.在这里,我为大家介绍一下两种常见的网页服务器中最重要的记录文件,分析服务器遭到攻击后,黑客在记录文件中留下什么记录. 【推荐阅读:Sandbox效应】
我在这里所用的是与黑客用的相似的模拟攻击网站方式与工具.(注意:在本文中所介绍的方法请大家不要试用,请大家自觉遵守网络准则!) 【扩展信息:调查报告:用户更换Email地址的影响不】
iis的预设记录文件地址在 c:\winnt\system32\logfiles\w3svc1的目录下,文件名是当天的日期,如yymmdd.log.系统会每天产生新的记录文件.预设的格式是w3c延伸记录文件格式(w3c extended log file format),很多相关软件都可以解译.分析这种格式的档案.记录文件在预设的状况下会记录时间.客户端ip地址.method(get.post等).uri stem(要求的资源).与http状态(数字状态代码).这些字段大部分都一看就懂,可是http状态就需要解读了.一般而言,如果代码是在200到299代表成功.常见的200状态码代表符合客户端的要求.300到399代表必须由客户端采取动作才能满足所提出的要求.400到499与500到599代表客户端与服务器有问题.最常见的状态代码有两个,一个是404,代表客户端要求的资源不在服务器上,403代表的是所要求的资源拒绝服务.apache记录文件的预设储存位置在/usr/local/apache/logs.最有价值的记录文件是access_log,不过 ssl_request_log与ssl_engine_log也能提供有用的资料. access_log记录文件有七个字段,包括客户端ip地址.特殊人物识别符.用户名称.日期.method resource protocol(get.post等;要求哪些资源;然后是协议的版本).http状态.还有传输的字节.
分析过程
网页服务器版本是很重要的信息,黑客一般先向网页服务器提出要求,让服务器送回本身的版本信息.只要把「head / http/1.0」这个字符串用常见的netcat utility(相关资料网址:http://www.l0pht.com/~weld/netcat/)与openssl binary(相关资料网址:http://www.openssl.org/)送到开放服务器的通讯端口就成了.注意看下面的示范:
c:>nc -n 10.0.2.55 80
head / http/1.0 http/1.1 200 ok server: microsoft-iis/4.0 date: sun, 08 mar 2001 14:31:00 gmt content-type: text/html ... 下一页