现在的web服务入侵当中,大多数都是利用网站程序所存在的漏洞从而得到webshell,进行主机的内部入侵的,我们可以利用windows的IIS日志当中得到黑客入侵的手法以及相关的操作。IIS日志的默认目录就是%systemroot%\\system32\\logfiles\\,日志文件名是按照日期进行命令的,而记录格式是标准的W3C标准进行记录的,而其日志的格式是以日期/时间/IP地址/访问动作(GET OR POST)/被访问地址/访问端口/来访IP地址等。而访问状态的表示,我们可以知道200-299是表示访问成功;300-399是表示需要客户端的反应来满足请求;400-599分别表示了客户端以及服务器出错,而404和403就是我们通常所见的资源无法找到和访问被限制。
一.信息收集
当服务器开放IIS服务后,就会收到不同的访问请求。如何去分析哪些是入侵者所造成的了?通常的入侵手法,首先是信息收集(踩点),入侵者会利用扫描器去扫描目标主机的开放服务以及服务器的敏感信息,这样子就会在扫描IIS的时候留下大量的扫描记录了。在以下的IIS日志当中我们就可以看到扫描器留下针对 80端口的扫描记录。
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../.././winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2005-01-22 16:30:29 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
根据以上的日志我们可以分析得知,192.168.111.2的IP地址不断的在向IIS的CGI目录(IIS是Scripts,Apache是 cgi-bin)的文件发送访问请求,而且都是针对现行比较流行的CGI漏洞。单从这里我们就可以知道这些并非是正常的访问请求,而是入侵者在入侵前对于服务器的IIS进行的漏洞扫描,这时候我们就必须要去注意我们自身的IIS的CGI目录的程序安全性了。
二.入侵痕迹分析
网站被入侵了,在文件当中找不到入侵者所留下的木马的时候,如何去利用IIS日志去寻找入侵者的操作了?
2005-01-22 17:16:58 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2005-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2005-01-22 17:17:03 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2005-01-22 17:17:03 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2005-01-22 17:17:06 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
从上面我们可以看到入侵者192.168.111.2利用dbm6.asp进行操作,从而利用特定的木马程序进行主机的入侵,浏览主机的文件控制主机每个文件。IIS会记录每个用户操作,让管理员可以轻松的分析,每个动作和每一个事件的起因。往就是因为这样子的记录我们就可以找到入侵者留下的蛛丝马迹了!就好像现在比较流行的旁注入侵手法一样,有了工具就可以完全自动化的进行入侵了,首先程序会不断的向网站进行上传页面的扫描,然后利用有漏洞的上传页面进行上传WEBSHELL!我们从下面的信息可以看到:
14:41:11 127.0.0.1 GET /bbs/upfile.asp 404
14:41:11 127.0.0.1 GET /data/dvbbs7.mdb 404
14:41:11 127.0.0.1 GET /databackup/dvbbs7.mdb 404
14:41:11 127.0.0.1 GET /upfile.asp 404
14:41:11 127.0.0.1 GET /bbs/down_addsoft.asp 404
14:41:11 127.0.0.1 GET /down_addsoft.asp 404
14:41:11 127.0.0.1 GET /bbs/down_picupload.asp 404
14:41:12 127.0.0.1 GET /down_picupload.asp 404
14:41:12 127.0.0.1 GET /dvbbs/upfile.asp 404
14:41:12 127.0.0.1 GET /forum/upfile.asp 404
14:41:12 127.0.0.1 GET /upfile_soft.asp 404
14:41:12 127.0.0.1 GET /upload_soft.asp 404
14:41:13 127.0.0.1 GET /bbs/down_picupfile.asp 404
14:41:13 127.0.0.1 GET /bbs/z_visual_upfile.asp 404
用户不断的在进行针对上传页面的扫描,基于这样子的操作痕迹,我们就应该开始注意到网站是否已经成为了入侵者打算攻击的目标。
三.远程攻击
IIS服务会受到来自内部以及外部的攻击,在这么多的远程攻击当中Webdav的远程溢出都算是经典的了!我曾经利用这个漏洞入侵了很多的主机!首先说说的是Webdav远程溢出漏洞的资料:
WebDav是IIS中的一个组件。IIS5 默认提供了对WebDAV的支持,通过WebDAV可以通过HTTP向用户提供远程文件存储的服务。
IIS 5.0包含的WebDAV组件使用了ntdll.dll中的一些函数,此函数没有充分检查传递给部分系统组件的数据,远程攻击者利用这个溢出漏洞,通过对WebDAV的畸形对WebDAV进行缓冲区溢出攻击,成功利用此漏洞可以获得system权限的shell。
当入侵者利用这个漏洞的时候,会在IIS的日志下记录有关的溢出代码,因为篇幅的关系我就不再截图了!从记录下我们就可以得知入侵者利用代码从而想到System的shell。我们就可以检查相关的账号以及其他的日志来确定是否已经被入侵了!
从信息的收集以及内部外部的攻击,我们可以知道当入侵者利用80端口进行入侵的时候,我们的IIS日志会将他们的任何一点不少的记录下来,从而让我们可以得知以及分析个中的手法以及痕迹!使到我们的系统我们管理更加的完善安全,大家千万不要小看了区区的一个IIS日志,它是我们在管理以及安全方面的好帮手,希望可以善用系统当中每一方面的日志记录,从里面我们可以看到系统的安全以及健康问题!因本人属于网络安全新手,在写作以及分析方面尚欠成熟,如有错误请大家指出!谢谢!