<em id="dx444"><object id="dx444"><input id="dx444"></input></object></em>
新聞觀點

如何利用網站IIS日志分析追查網站攻擊者

標簽: 網站seo ? 網站日志分析 ? ? | 作者:錦明SEO| VISITORS: | 來源:錦明網絡營銷
10
Jul
2016

  網站日志作為服務器重要的組成部分,詳細的記錄了服務器運行期間客戶端對WEB應用的訪問請求和服務器的運行狀態,同樣,攻擊者對網站的入侵行為也會被記錄到WEB日志中,因此,在網站日常運營和安全應急響應過程中,我們可以通過分析WEB日志并結合其他一些情況來跟蹤攻擊者,還原攻擊過程。下面看看滕州SEO-錦明SEO網絡

  

  本文主要講述了網站日志安全分析時的思路和常用的一些技巧,并通過兩個完整的實例講述了在發生安全事件后,如何通過分析網站日志并結合其他一些線索來對攻擊者進行追查。

  一、WEB日志結構

  在對WEB日志進行安全分析之前,我們需要先了解下WEB日志的結構,從目前主流WEB服務器支持的日志類型來看,常見的有兩類:

  1、Apache采用的NCSA日志格式。

  2、IIS采用的W3C日志格式。

  其中NCSA日志格式又分為NCSA普通日志格式(CLF)和NCSA擴展日志格式(ECLF)兩類,具體使用那一種可以在WEB服務器配置文件中定義,Apache也支持自定義日志格式,用戶可以在配置文件中自定義日志格式,如在Apache中可以通過修改httpd.conf配置文件來實現。

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  接著我們來看一條Apache的訪問日志:

  192.168.1.66 - - [06/Sep/2012:20:55:05 +0800] "GET /index.html HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0"

  下面是具體的解釋:

  192.168.1.66:表示客戶端IP地址

  [06/Sep/2012:20:55:05 +0800]:訪問時間及服務器所在時區

  GET:數據包提交方式為GET方式。常見的有GET和POST兩種類型。

  /index.html:客戶端訪問的URL

  HTTP/1.1:協議版本信息

  404:WEB服務器響應的狀態碼。404表示服務器上無此文件;200表示響應正常;500表示服務器錯誤。

  287:此次訪問傳輸的字節數

  Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0:客戶端瀏覽器和系統環境等信息。

  IIS訪問日志格式及保存路徑可以在IIS管理器中配置,如下圖:

  

  下面是IIS的W3C擴展日志格式:

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  值得注意的是IIS的W3C日志格式中的訪問時間采用的是格林威治時間,和我們的北京時間差8個小時,而且沒有辦法修改。

  二、WEB日志安全分析原理

  通過上面的知識,我們知道WEB日志會記錄客戶端對WEB應用的訪問請求,這其中包括正常用戶的訪問請求和攻擊者的惡意行為,那么我們如何區分正常用戶和惡意攻擊者呢?通過大量的分析,我們發現攻擊者在對網站入侵時,向網站發起的請求中會帶有特定的攻擊特征,如利用WEB掃描器在對網站進行漏洞掃描時往往會產生大量的404錯誤日志。

  

  當有人對網站進行SQL注入漏洞探測時,WEB訪問日志中通常會出現如下日志:

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  因此,我們可以通過分析WEB日志中是否存在特定的攻擊特征來區分攻擊者和正常用戶的訪問行為。

  但是,WEB訪問日志并不是萬能的,有些攻擊行為并不會被記錄到WEB訪問日志中,比如POST型SQL注入就不會記錄在WEB訪問日志中,這時我們就需要通過其他手段來監測這種攻擊行為。

  三、WEB日志安全分析思路

  在對WEB日志進行安全分析時,可以按照下面兩種思路展開,逐步深入,還原整個攻擊過程。

  1、首先確定受到攻擊、入侵的時間范圍,以此為線索,查找這個時間范圍內可疑的日志,進一步排查,最終確定攻擊者,還原攻擊過程。

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  2、一般攻擊者在入侵網站后,通常會上傳一個后門文件,以方便自己以后訪問,我們也可以以該文件為線索來展開分析。

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  四、WEB日志安全分析技巧

  WEB日志文件通常比較大,包含的信息也比較豐富,當我們對WEB日志進行安全分析時,我們通常只關注包含攻擊特征的日志,其他的日志對于我們來說是無用的,這時我們可以通過手工或借助工具來將我們關注的日志內容提取出來單獨分析,以提高效率。

  在日志分析中經常用到的幾個命令有“find”,“findstr”,“grep”,“egrep”等,關于這幾個命令的用法請自行查找相關資料。

  1、將數據提交方式為“GET”的日志提取出來

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  上面這條命令的意思是從iis.log這個文件中查找存在GET字符的日志內容,并將結果保存到iis_get.log中。

  

  2、查找WEB日志中是否存在利用IIS寫權限漏洞的攻擊行為。

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  五、實例分析:如何通過分析WEB日志追蹤攻擊者

  上面我們講了一些關于在WEB日志安全分析過程中經常用到的技巧,現在我們通過一個實例來完整的了解下如何通過分析WEB日志追蹤攻擊者,還原攻擊過程。

  1、背景介紹

  某日,公司網站服務器WEB目錄下突然多了一個名為shell.php.jpg的文件,經過查看文件內容,發現該文件是一個網站后門文件,也就是常說的WebShell,于是懷疑網站被黑客入侵。

  接下來網站管理員通過分析WEB日志,并結合其他一些情況,成功追蹤到了攻擊者,還原了整個攻擊過程,在這個過程中還發現了網站存在的安全漏洞,事后及時修復了漏洞,并對網站進行了全面的安全檢測,提高了網站的安全性。

  2、分析思路

  根據目前得到的信息分析,得知WEB目錄下存在一個可疑的文件,我們就以該文件為線索,先來查找都有哪些IP訪問了該文件,然后并一步排查這些IP都做了哪些操作,最終確認攻擊者以及他運用的攻擊手段。

  3、分析過程

  (1)、首先找到存在的網站后門文件,也就是上面提到的WebShell文件,發現該文件是在2013年2月7日被創建的。

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  (2)、我們先來查找下都有哪些IP訪問了這個文件,可通過如下命令將相關日志內容提取出來。

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  (3)、通過上圖我們可以確定目前只有192.168.1.2訪問了該文件,這個IP非??梢?,下面我們來查找下該IP都做了哪些操作。

  (4)、從上面的日志中我們可以看到這是典型的SQL注入,經過進一步分析,發現攻擊者利用SQL注入獲取到了網站后臺管理員帳號和密碼。

  192.168.1.2 - - [07/Mar/2013:22:50:21 +0800] "GET /leave_show.php?id=40%20and%201=2%20union%20select%20unhex(hex(concat(0x5e5e5e,group_concat(id,0x5e,user,0x5e,pwd,0x5e,userclass,0x5e,loginip,0x5e,logintimes,0x5e,logintime),0x5e5e5e))),0,0,0,0,0,0,0,0%20from%20(select%20*%20from%20(select%20*%20from%20admin%20where%201=1%20order%20by%201%20limit%201,100)%20t%20order%20by%201%20desc)t%20-- HTTP/1.1" 200 18859 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; .NET CLR 1.1.4322)"

  (5)、接著攻擊者利用獲取到的帳號成功進入了網站后臺,詳見下面的日志:

  192.168.1.2 - - [07/Mar/2013:22:51:26 +0800] "GET /mywebmanage/web_manage.php HTTP/1.1" 200 5172 "http://192.168.1.107/mywebmanage/" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

  192.168.1.2 - - [07/Mar/2013:22:51:44 +0800] "POST /mywebmanage/check.php HTTP/1.1" 200 47 "http://192.168.1.107/mywebmanage/web_manage.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

  192.168.1.2 - - [07/Mar/2013:22:51:45 +0800] "GET /mywebmanage/default.php HTTP/1.1" 200 2228 "http://192.168.1.107/mywebmanage/check.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

  (6)、然后攻擊者訪問了add_link.php這個頁面,該頁面是一個添加友情鏈接的頁面:

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  通過分析網站源碼,發現該頁面上傳圖片處存在一個文件上傳漏洞,攻擊者正是利用這個漏洞上傳了一個名為shell.php.jpg的后門文件,并且利用Apache的解析漏洞成功獲取到一個WebShell。

  192.168.1.2 - - [07/Mar/2013:22:53:40 +0800] "GET /mywebmanage/link/add_link.php HTTP/1.1" 200 3023 "http://192.168.1.107/mywebmanage/LeftTree.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

  192.168.1.2 - - [07/Mar/2013:22:54:50 +0800] "POST /mywebmanage/link/add_link_ok.php HTTP/1.1" 200 77 "http://192.168.1.107/mywebmanage/link/add_link.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

  192.168.1.2 - - [07/Mar/2013:22:55:48 +0800] "GET /link/shell.php.jpg HTTP/1.1" 200 359 "-" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

  192.168.1.2 - - [07/Mar/2013:22:55:54 +0800] "POST /link/shell.php.jpg HTTP/1.1" 200 132 "http://192.168.1.107/link/shell.php.jpg" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

  (7)、到這里,我們已經可以了解到攻擊者的攻擊過程了,具體如下:

  首先對網站進行漏洞檢測,發現存在SQL注入漏洞--->利用SQL注入漏洞獲取到網站后臺管理員帳號、密碼及其他信息--->以管理員身份登錄網站后臺--->利用某頁面存在的文件上傳漏洞,成功上傳一個名為shell.php.jpg的后門文件,并結合Apache的解析漏洞,成功獲取到一個WebShell。

  六、實例分析:利用IIS日志追查BBS網站入侵者

  如果你是網管你會如何去追查問題的來源呢?程序問題就去查看“事件查看器”,如果是IIS問題當然是查看IIS日志了!

  系統文件夾的system32低下的logfile有所有的IIS日志,用來記錄服務器所有訪問記錄,因為是虛擬主機的用戶,所以每個用戶都配置獨立的IIS日志目錄,從里面的日志文件就可以發現入侵者入侵BBS的資料了,所以下載了有關時間段的所有日志下來進行分析,發現了很多我自己都不知道資料,這下子就知道入侵者是怎么入侵我的BBS了。

  1、IIS日志的分析

  從第一天里日志可以發現入侵者早就已經對我的BBS虎視耽耽的了,而且不止一個入侵者這么簡單,還很多啊,頭一天的IIS日志就全部都是利用程序掃描后臺留下的垃圾數據。

  看上面的日志可以發現,入侵者61.145.***.***利用程序不斷的在掃描后臺的頁面,似乎想利用后臺登陸漏洞從而進入BBS的后臺管理版面,很可惜這位入侵者好像真的沒有什么思路,麻木的利用程序作為幫助去尋找后臺,沒有什么作用的入侵手法。

  查看了第二天的日志,開始的時候還是普通的用戶訪問日志沒有什么特別,到了中段的時候問題就找到了,找到了一個利用程序查找指定文件的IIS動作記錄。

  

如何利用網站IIS日志分析追查網站攻擊者-馬海祥博客

  從上面的資料發現入侵者61.141.***.***也是利用程序去掃描指定的上傳頁面,從而確定入侵目標是否存在這些頁面,然后進行上傳漏洞的入侵,還有就是掃描利用動網默認數據庫,一些比較常用的木馬名稱,看來這個入侵者還以為我的BBS是馬坊啊,掃描這么多的木馬文件能找著就是奇跡啊。

  繼續往下走終于被我發現了,入侵者61.141.***.***在黑了我網站首頁之前的動作記錄了,首先在Forum的文件夾目錄建立了一個Myth.txt文件,然后在Forum的文件夾目錄下再生成了一只木馬Akk.asp

  

  日志的記錄下,看到了入侵者利用akk.asp木馬的所有操作記錄。

  詳細入侵分析如下:

  GET /forum/akk.asp – 200

  利用旁注網站的webshell在Forum文件夾下生成akk.asp后門

  GET /forum/akk.asp d=ls.asp 200

  入侵者登陸后門

  GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200

  進入test文件夾

  GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200

  利用后門在test文件夾修改1.asp的文件

  GET /forum/akk.asp d=ls.asp 200

  GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200

  進入lan文件夾

  GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200

  利用編輯命令修改lan文件夾內的首頁文件

  GET /forum/akk.asp d=ls.asp 200

  GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

  進入BBS文件夾(這下子真的進入BBS目錄了)

  POST /forum/akk.asp d=up.asp 200

  GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

  GET /forum/myth.txt – 200

  在forum的文件夾內上傳myth.txt的文件

  GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200

  GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200

  POST /forum/akk.asp d=up.asp 200

  GET /forum/myth.txt – 200

  利用后門修改Forum文件夾目錄下的myth.txt文件。

  之后又再利用旁注網站的webshell進行了Ubb.asp的后門建立,利用akk.asp的后門修改了首頁,又把首頁備份,暈死啊,不明白這位入侵者是怎么一回事,整天換webshell進行利用,還真的摸不透啊。

  2、分析日志總結

  入侵者是利用工具踩點,首先確定BBS可能存在的漏洞頁面,經過測試發現不可以入侵,然后轉向服務器的入侵,利用旁注專用的程序或者是特定的程序進行網站入侵,拿到首要的webshell,再進行文件夾的訪問從而入侵了我的BBS系統修改了首頁,因為是基于我空間的IIS日志進行分析,所以不清楚入侵者是利用哪個網站哪個頁面進行入侵的!

  不過都已經完成的資料收集了,確定了入侵BBS的入侵者IP地址以及使用的木馬,還留下了大量入侵記錄,整個日志追蹤過程就完畢了。

  錦明SEO網絡點評:

  通過上面對WEB日志進行的安全分析,我們不僅追蹤到了攻擊者,也查出了網站存在的漏洞,下面就應該將攻擊者上傳的后門文件刪除掉,并修復存在的安全漏洞,然后對網站進行全面的安全檢測,并對WEB服務器進行安全加固,防止此類安全事件再次發生。



轉載聲明:本文由滕州網站優化-錦明SEO網絡整理發布
轉載請注明來源:http://www.k30302.cn/new/seo/93.html
相關新聞
最新新聞
最新案例
錦明網絡—幫助企業塑造網絡品牌影響力,您身邊的網絡營銷專家!
分享按鈕 2018年一期东方心经 深州市| 义乌市| 邻水| 郎溪县| 松江区| 葫芦岛市| 马边| 黄石市| 承德市| 玛曲县| 防城港市| 云和县| 明星| 罗平县| 阜南县| 巴东县| 勐海县| 波密县| 廊坊市| 重庆市| 盐亭县| 界首市| 衡东县| 洮南市| 鄂尔多斯市| 晋中市| 池州市| 木兰县| 安泽县| 赣州市| 奈曼旗| 河北省| 白城市| 吴桥县| 洪湖市| 靖安县| 武威市| 宁乡县| 贵港市| 阿尔山市| 怀远县| http://www.085yes.top http://china.sina69x.pw http://china.lsjucz.pw http://www.111network.top http://wap.lsjzmb.club http://www.k30517.cn