[紅]不容忽視的IIS日志

2010-08-28 10:46:40來源:西部e網(wǎng)作者:

    現(xiàn)在的web服務(wù)入侵當(dāng)中,大多數(shù)都是利用網(wǎng)站程序所存在的漏洞從而得到webshell,進行主機的內(nèi)部入侵的,我們可以利用windows的IIS日志當(dāng)中得到黑客入侵的手法以及相關(guān)的操作。IIS日志的默認目錄就是%systemroot%\\system32\\logfiles\\,日志文件名是按照日期進行命令的,而記錄格式是標(biāo)準的W3C標(biāo)準進行記錄的,而其日志的格式是以日期/時間/IP地址/訪問動作(GET OR POST)/被訪問地址/訪問端口/來訪IP地址等。而訪問狀態(tài)的表示,我們可以知道200-299是表示訪問成功;300-399是表示需要客戶端的反應(yīng)來滿足請求;400-599分別表示了客戶端以及服務(wù)器出錯,而404和403就是我們通常所見的資源無法找到和訪問被限制。

    一.信息收集
    當(dāng)服務(wù)器開放IIS服務(wù)后,就會收到不同的訪問請求。如何去分析哪些是入侵者所造成的了?通常的入侵手法,首先是信息收集(踩點),入侵者會利用掃描器去掃描目標(biāo)主機的開放服務(wù)以及服務(wù)器的敏感信息,這樣子就會在掃描IIS的時候留下大量的掃描記錄了。在以下的IIS日志當(dāng)中我們就可以看到掃描器留下針對 80端口的掃描記錄。

2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../.././winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:29 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
    根據(jù)以上的日志我們可以分析得知,192.168.111.2的IP地址不斷的在向IIS的CGI目錄(IIS是Scripts,Apache是 cgi-bin)的文件發(fā)送訪問請求,而且都是針對現(xiàn)行比較流行的CGI漏洞。單從這里我們就可以知道這些并非是正常的訪問請求,而是入侵者在入侵前對于服務(wù)器的IIS進行的漏洞掃描,這時候我們就必須要去注意我們自身的IIS的CGI目錄的程序安全性了。

    二.入侵痕跡分析
    網(wǎng)站被入侵了,在文件當(dāng)中找不到入侵者所留下的木馬的時候,如何去利用IIS日志去尋找入侵者的操作了?
2005-01-22 17:16:58 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2005-01-22 17:17:03 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2005-01-22 17:17:03 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2005-01-22 17:17:06 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
從上面我們可以看到入侵者192.168.111.2利用dbm6.asp進行操作,從而利用特定的木馬程序進行主機的入侵,瀏覽主機的文件控制主機每個文件。IIS會記錄每個用戶操作,讓管理員可以輕松的分析,每個動作和每一個事件的起因。往就是因為這樣子的記錄我們就可以找到入侵者留下的蛛絲馬跡了!就好像現(xiàn)在比較流行的旁注入侵手法一樣,有了工具就可以完全自動化的進行入侵了,首先程序會不斷的向網(wǎng)站進行上傳頁面的掃描,然后利用有漏洞的上傳頁面進行上傳WEBSHELL!我們從下面的信息可以看到:
14:41:11 127.0.0.1 GET /bbs/upfile.asp 404
14:41:11 127.0.0.1 GET /data/dvbbs7.mdb 404
14:41:11 127.0.0.1 GET /databackup/dvbbs7.mdb 404
14:41:11 127.0.0.1 GET /upfile.asp 404
14:41:11 127.0.0.1 GET /bbs/down_addsoft.asp 404
14:41:11 127.0.0.1 GET /down_addsoft.asp 404
14:41:11 127.0.0.1 GET /bbs/down_picupload.asp 404
14:41:12 127.0.0.1 GET /down_picupload.asp 404
14:41:12 127.0.0.1 GET /dvbbs/upfile.asp 404
14:41:12 127.0.0.1 GET /forum/upfile.asp 404
14:41:12 127.0.0.1 GET /upfile_soft.asp 404
14:41:12 127.0.0.1 GET /upload_soft.asp 404
14:41:13 127.0.0.1 GET /bbs/down_picupfile.asp 404
14:41:13 127.0.0.1 GET /bbs/z_visual_upfile.asp 404
用戶不斷的在進行針對上傳頁面的掃描,基于這樣子的操作痕跡,我們就應(yīng)該開始注意到網(wǎng)站是否已經(jīng)成為了入侵者打算攻擊的目標(biāo)。

    三.遠程攻擊
  IIS服務(wù)會受到來自內(nèi)部以及外部的攻擊,在這么多的遠程攻擊當(dāng)中Webdav的遠程溢出都算是經(jīng)典的了!我曾經(jīng)利用這個漏洞入侵了很多的主機!首先說說的是Webdav遠程溢出漏洞的資料:
WebDav是IIS中的一個組件。IIS5 默認提供了對WebDAV的支持,通過WebDAV可以通過HTTP向用戶提供遠程文件存儲的服務(wù)。

IIS 5.0包含的WebDAV組件使用了ntdll.dll中的一些函數(shù),此函數(shù)沒有充分檢查傳遞給部分系統(tǒng)組件的數(shù)據(jù),遠程攻擊者利用這個溢出漏洞,通過對WebDAV的畸形對WebDAV進行緩沖區(qū)溢出攻擊,成功利用此漏洞可以獲得system權(quán)限的shell。
  當(dāng)入侵者利用這個漏洞的時候,會在IIS的日志下記錄有關(guān)的溢出代碼,因為篇幅的關(guān)系我就不再截圖了!從記錄下我們就可以得知入侵者利用代碼從而想到System的shell。我們就可以檢查相關(guān)的賬號以及其他的日志來確定是否已經(jīng)被入侵了!

  從信息的收集以及內(nèi)部外部的攻擊,我們可以知道當(dāng)入侵者利用80端口進行入侵的時候,我們的IIS日志會將他們的任何一點不少的記錄下來,從而讓我們可以得知以及分析個中的手法以及痕跡!使到我們的系統(tǒng)我們管理更加的完善安全,大家千萬不要小看了區(qū)區(qū)的一個IIS日志,它是我們在管理以及安全方面的好幫手,希望可以善用系統(tǒng)當(dāng)中每一方面的日志記錄,從里面我們可以看到系統(tǒng)的安全以及健康問題!因本人屬于網(wǎng)絡(luò)安全新手,在寫作以及分析方面尚欠成熟,如有錯誤請大家指出!謝謝!

關(guān)鍵詞:IIS

贊助商鏈接: