2002-03-10 06:17:50 192.168.1.2 - 192.168.1.1 80 HEAD / - 400 -
这是一个使用HEAD请求来扫描WWW服务器软件类型的记录,攻击者能够通过了解WWW使用的软件来选择扫描工具扫描的范围。
IIS通常都能够记录下所有的请求,这里面包含很多正常用户的请求记录,这也让IIS的日志文件变得非常庞大,上十兆或者更大,人工浏览分析就变得不可取。这时可以使用一些日志分析软件,帮助日志分析。或者使用下面这个简单的命令来检查是否有Unicode漏洞的扫描事件存在:
find /I "winnt/system32/cmd.exe" C:\log\ex020310.log
“find”这个命令就是在文件中搜索字符串的。我们可以根据扫描工具或者漏洞情况建立一个敏感字符串列表,比如“HEAD”、“cmd.exe”(Unicode漏洞)、“.ida”“.idq”(IDA/IDQ远程溢出漏洞)、“.printer”(Printer远程溢出漏洞)等等。
二、对于FTP等服务入侵的前兆检测
根据前面对于WWW服务入侵前兆的检测,我们可以照样来检测FTP或者其他服务(POP、SMTP等)。以FTP服务来举例,对于FTP服务,通常最初的扫描或者入侵必然是进行帐号的猜解。对于IIS提供的FTP服务,也跟WWW服务一样提供了详尽的日志记录(假如使用其他的FTP服务软件,它们也应该有相应的日志记录)。
我们来分析这些日志:
|
这表示用户名administrator请求登录,但是登录失败了。当在日志中出现大量的这些登录失败的记录,说明有人企图进行FTP的帐号猜解。这就是从FTP服务来入侵的入侵前兆。
分析这些日志的方法也跟前面分析WWW服务的日志方法类似。因为FTP并不能进行帐号的枚举,所以,假如发现有攻击者猜测的用户名正好和你使用的帐号一致,那么就需要修改帐号并加强密码长度。
评论加载中…
 |