當(dāng)服務(wù)器被攻擊時，最容易被人忽略的地方，就是記錄文件，服務(wù)器的記錄文件了黑客活動的蛛絲馬跡。在這里，我為大家介紹一下兩種常見的網(wǎng)頁服務(wù)器中最重要的記錄文件，分析服務(wù)器遭到攻擊后，黑客在記錄文件中留下什么記錄。

　　目前最常見的網(wǎng)頁服務(wù)器有兩種：Apache和微軟的Internet Information Server （簡稱IIS）。這兩種服務(wù)器都有一般版本和SSL認(rèn)證版本，方便黑客對加密和未加密的服務(wù)器進(jìn)行攻擊。

　　IIS的預(yù)設(shè)記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下，文件名是當(dāng)天的日期，如yymmdd.log。系統(tǒng)會每天產(chǎn)生新的記錄文件。預(yù)設(shè)的格式是W3C延伸記錄文件格式（W3C Extended Log File Format），很多相關(guān)軟件都可以解譯、分析這種格式的檔案。記錄文件在預(yù)設(shè)的狀況下會記錄時間、客戶端IP地址、method（GET、POST等）、URI stem（要求的資源）、和HTTP狀態(tài)（數(shù)字狀態(tài)代碼）。這些字段大部分都一看就懂，可是HTTP狀態(tài)就需要解讀了。一般而言，如果代碼是在200到299代表成功。常見的200狀態(tài)碼代表符合客戶端的要求。300到399代表必須由客戶端采取動作才能滿足所提出的要求。400到499和500到599代表客戶端和服務(wù)器有問題。最常見的狀態(tài)代碼有兩個，一個是404，代表客戶端要求的資源不在服務(wù)器上，403代表的是所要求的資源拒絕服務(wù)。Apache記錄文件的預(yù)設(shè)儲存位置在/usr/local/apache/logs。最有價(jià)值的記錄文件是access_log，不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個字段，包括客戶端IP地址、特殊人物識別符、用戶名稱、日期、Method Resource Protocol（GET、POST等；要求哪些資源；然后是協(xié)議的版本）、HTTP狀態(tài)、還有傳輸?shù)淖止?jié)。

　　我在這里所用的是與黑客用的相似的模擬攻擊網(wǎng)站方式和工具。（注意：在本文中所介紹的方法請大家不要試用，請大家自覺遵守網(wǎng)絡(luò)準(zhǔn)則！）

　　分析過程

　　網(wǎng)頁服務(wù)器版本是很重要的信息，黑客一般先向網(wǎng)頁服務(wù)器提出要求，讓服務(wù)器送回本身的版本信息。只要把「HEAD / HTTP/1.0」這個字符串用常見的netcat utility（相關(guān)資料網(wǎng)址：http://www.l0pht.com/~weld/netcat/）和OpenSSL binary（相關(guān)資料網(wǎng)址：http://www.openssl.org/）送到開放服務(wù)器的通訊端口就成了。注意看下面的示范：

　　C:>nc -n 10.0.2.55 80

　　HEAD / HTTP/1.0

　　HTTP/1.1 200 OK

　　Server: Microsoft-IIS/4.0

　　Date: Sun, 08 Mar 2001 14:31:00 GMT

　　Content-Type: text/html

　　Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

　　Cache-control: private

　　這種形式的要求在IIS和Apache的記錄文件中會生成以下記錄：

　　IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200

　　Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

　　雖然這類要求合法，看似很平常，不過卻常常是網(wǎng)絡(luò)攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個要求是連到SSL服務(wù)器還是一般的網(wǎng)頁服務(wù)器，可是Apache的 ssl_request_log和ssl_engine_log（在/usr/local/apache/logs目錄下）這兩個記錄文件就會記錄是否有聯(lián)機(jī)到SSL服務(wù)器。請看以下的ssl_request_log記錄文件：

　　[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0

　　第三和第四個字段表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發(fā)出的要求。

　　[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692

　　[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692

　　[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692

　　[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692

　　另外黑客通常會復(fù)制一個網(wǎng)站（也就是所謂的鏡射網(wǎng)站。），來取得發(fā)動攻擊所需要的信息。網(wǎng)頁原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復(fù)制網(wǎng)站常用的工具包括窗口系統(tǒng)的Teleport Pro（網(wǎng)址：http://www.tenmax.com/teleport/pro/home.htm）和Unix系統(tǒng)的wget（網(wǎng)址：http://www.gnu.org/manual/wget/）。在這里我為大家分析wget和TeleportPro這兩個軟件攻擊網(wǎng)頁服務(wù)器后記錄文件中的內(nèi)容。這兩個軟件能全面快速搜尋整個網(wǎng)站，對所有公開的網(wǎng)頁提出要求。只要檢查一下記錄文件就知道，要解譯鏡射這個動作是很簡單的事。以下是IIS的記錄文件：

　　16:28:52 11.1.2.80 GET /Default.asp 200

　　16:28:52 11.1.2.80 GET /robots.txt 404

　　16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200

　　16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200

　　16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200

　　16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200

　　16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

　　注：11.1.2.80這個主機(jī)是Unix系統(tǒng)的客戶端，是用wget軟件發(fā)出請求。

　　16:49:01 11.1.1.50 GET /Default.asp 200

　　16:49:01 11.1.1.50 GET /robots.txt 404

　　16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200

　　16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200

　　16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200

　　16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200

　　16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200

　　注：11.1.1.50系統(tǒng)是窗口環(huán)境的客戶端，用的是TeleportPro發(fā)出請求。

　　注意：以上兩個主機(jī)都要求robots.txt這個檔，其實(shí)這個檔案是網(wǎng)頁管理員的工具，作用是防止wget和TeleportPro這類自動抓文件軟件對某些網(wǎng)頁從事抓取或搜尋的動作。如果有人提出robots.txt檔的要求，常常代表是要鏡射整個網(wǎng)站。但，TeleportPro和wget這兩個軟件都可以把要求robots.txt這個文件的功能取消。另一個偵測鏡射動作的方式，是看看有沒有同一個客戶端IP反復(fù)提出資源要求。