Encuentre las pistas del pirata informático en el servidor web

Ahora, como los servidores tienen mucho miedo a los ataques de virus o piratas informáticos. Una vez que son atacados, tienen mucho daño, por lo que desea ver si su servidor está pirateado. Puede rastrear las pistas del pirata informático, cómo rastrearlo, díganlo a continuación.

La red de hoy en día, la seguridad está recibiendo cada vez más atención por parte de todos. Al crear un entorno de seguridad de red, se fortalece gradualmente en términos de medios técnicos y sistemas de administración, configuración de firewalls, instalación de sistemas de detección de intrusos, etc. Sin embargo, la seguridad de la red es un problema integral. Ignorar qué punto causará el efecto barril, haciendo que todo el sistema de seguridad sea inútil. Este artículo analiza los registros de registro del servidor web para identificar vulnerabilidades y prevenir ataques, mejorando así la seguridad del servidor web.

Los servicios web son los servicios más abundantes y ricos proporcionados por Internet. Varios servidores web son, naturalmente, los más atacados. Hemos adoptado muchas medidas para evitar ataques e intrusiones. Los registros de visualización de servidores web son los más. Un método directo, más utilizado y más eficaz, pero el registro de registro es muy grande, es muy engorroso ver el registro de registro. Si no puede captar el punto clave, la pista de ataque es fácil de ignorar. Estos son los experimentos en los dos tipos de servidores web más populares: Apache e IIS, y luego encontrar las pistas de los ataques en numerosos registros, por lo que tome las medidas adecuadas para fortalecer la prevención.

1, el registro web predeterminado

Para IIS, el registro predeterminado se almacena en c: \\ winnt \\ system32 \\ logfiles \\ w3svc1, el nombre del archivo es la fecha del día y el formato de registro es W3C estándar. El formato de registro extendido puede ser analizado por varias herramientas de análisis de registros. El formato predeterminado incluye la hora, la dirección IP del visitante, el método de acceso (GETorPOST …), el recurso solicitado, el estado HTTP (representado por un número), etc. Para el estado HTTP, sabemos que 200-299 indica un acceso exitoso, 300-399 indica que la respuesta del cliente es necesaria para satisfacer la solicitud, 400-499 y 500-599 indican errores del cliente y del servidor, que se usa comúnmente como 404 indica que no se encontró el recurso. , 403 indica que el acceso está prohibido.

El registro predeterminado de Apache se almacena en /usr /local /apache /logs. El archivo de registro más útil es access_log, que incluye la IP del cliente, el identificador personal (generalmente vacío), el nombre de usuario (si es necesario) Autenticación), método de acceso (GETorPOST …), estado HTTP, número de bytes transferidos, etc.

2, Recopilación de información

Simulamos el modo habitual de piratear un servidor, primero recopilamos información y luego implementamos la intrusión paso a paso a través de comandos remotos. La herramienta que utilizamos es netcat1.1forwindows, la ip del servidor web es 10.22.1.100 y la IP del cliente es 10.22.1.80.

C: > nc-n10.22.1.10080

HEAD /HTTP /1.0

HTTP /1.1200OK

Servidor: Microsoft-IIS /4.0

Fecha: domingo, 8 de octubre de 2002: 31: 00GMT

Tipo de contenido: texto /html

Establecer cookie: ASPSESSIONIDGQQQQQ = IHOJAGJDECOLLGIBNKMCEEED; ruta = /