Web服務(wù)器記錄中查找黑客蹤跡(3)_Windows教程
教程Tag:暫無Tag,歡迎添加,賺取U幣!
檢查這種攻擊的關(guān)鍵是看同一IP地址對cgi目錄(IIS是scripts,Apache是cgi-bin)文件請求出現(xiàn)多個(gè)404狀態(tài)。這時(shí)就要檢查相應(yīng)cgi目錄里的程序安全性。
5、遠(yuǎn)程攻擊
下面我們以針對IIS的MDAC攻擊為例,來了解遠(yuǎn)程攻擊在log里的記錄情況。MDAC漏洞使得攻擊者可以在Web服務(wù)器端執(zhí)行任何命令。
17:48:49 10.22.1.80 GET /msadc/msadcs.dll 200
17:48:51 10.22.1.80 POST /msadc/msadcs.dll 200
當(dāng)攻擊發(fā)生后,在log會留下對msadcs.dll請求的記錄。
另一個(gè)有名的攻擊是asp源代碼泄漏的漏洞,當(dāng)這種攻擊發(fā)生時(shí),log文件會有如下記錄:
17:50:13 10.22.1.81 GET /default.asp+.htr 200
對于未授權(quán)訪問的攻擊記錄,Apache log會顯示:
[08/Oct/2002:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462
6、總結(jié)
管理一個(gè)安全站點(diǎn)要求系統(tǒng)管理人員具備安全的常識和警惕性,從不同的渠道了解安全的知識不僅能對付已發(fā)生的攻擊,還能對將會發(fā)生的攻擊做到較好的防范。而通過Log文件來了解、防范攻擊是很重要但又經(jīng)常容易忽略的手段。
IDS(入侵檢測系統(tǒng))能幫助你很多,但不能完全代替安全管理。仔細(xì)檢查Log,IDS所遺漏的東西,就可能在這里發(fā)現(xiàn)。
相關(guān)Windows教程:
- 相關(guān)鏈接:
- 教程說明:
Windows教程-Web服務(wù)器記錄中查找黑客蹤跡(3)。