武俠世界裡,常常會提到「屍體會說話」,而在網路的攻防世界裡,日誌是最重要的追蹤手段。今天要說的故事是,通過僅僅幾行訪問請求來還原整個黑客的攻擊過程和常見攻擊手法。
每天都有大量攻擊者在利用已爆出的各種相應外掛程式的漏洞,來攻擊wordpress 和 joomla 站點。
下面主要來介紹利用 google dork 的攻擊手法。
google hacking 是黑客們來尋找攻擊目標最常用的一種攻擊手法,利用google來尋找可能含有漏洞的**。
例如,使用inurl 操作符來尋找有配置錯誤的wordpress站點,[ inurl: 「wp-content」 「index of」 ] , 幾乎在web 世界,每個被公開的漏洞,都可以利用google hacking 尋找到攻擊目標。攻擊者利用google hacking技術,僅僅只是在搜素框中輸入檢索詞,然後處理搜素結果這麼簡單嗎?顯然不是。下面讓我們來一同看看大範圍批量檢索遇到的障礙和問題。
難點1:由於google 的限制,即時每次檢索可以返回百萬級別的站點資訊,但你可以獲得的最多站點資訊不超過1000個。難點2:並且在這1000個站點中,並不是所有的站點都是含有漏洞的,一般的預期漏洞比例都在20%以下(當然這不是一成不變的,試漏洞的公布日期而定)。
難點3:google 對於異常頻繁的請求,會彈出驗證碼,組織自動化google hacking的。
那麼攻擊者們,如何來克服上面提到的那些障礙呢?
下面正式進入我們的主題,通過幾條日誌,來看看這些聰明的攻擊們常用的手法吧。
所有上述三條請求,都在請求」includes/freesans.fr.php」 這個php檔案。檢索後發現這是乙個開源的web**程式,利用**程式,可以不留下自己真實的ip位址,從而突破ip限制,向google發起請求。
從上面的日誌中可見,攻擊者通過**程式來進行google hacking :
docks
從上述請求中,可以提取出dock的語句為:
[wp-content revslider site:mobi]從第乙個和第三個請求中可見,攻擊者在尋找使用slider revolution 外掛程式的wordpress 站點。(slider revolution 是去年爆出的漏洞,到現在為止還有黑客在尋找含有該漏洞的站點)[com_adsmanager +logo site:dj]
[wp-content +revslider site:mobi]
第二個請求看起來在尋找使用了adsmanager 外掛程式的 joomla 站點,因為有些版本有檔案上述漏洞。
到目前為止,我們來總結一下攻擊者常用的google dock trick 方法:
使用site+頂級網域名稱來 bypass 前文提到的1000個返回結果限制。對於使用site: mobi 或者 site:com 、site:org site:net 等來進行google hacking,則可以得到通過對上述三條語句的分析,我們理解了攻擊者的如下行為:1000個mobi字尾網域名稱的可疑站點url、1000個com字尾網域名稱的可疑站點url、1000個org字尾網域名稱的可疑站點url、1000個net字尾網域名稱的可疑站點url。當我們使用不同的site+頂級網域名稱,則會得到遠遠超過1000個vulnerable
url。
突破ip限制。攻擊者常用如下 trick 來bypas ip限制
使用&num=100 來增加每頁響應數量,從而減少請求數目。
分布式**,使用多個肉雞來輪番發起請求。
這也就解釋了為什麼攻擊者根本不在乎他們所要攻擊的站點是什麼,只要是可以利用的cpu和計算資源,他們都想占有。
偽造ua 偽造ua,使請求看起來像來自乙個isp 背後的大量不同真實使用者。如下文中所示,每個ua看似相同,但都有微小差別。
mozilla/5.0 (windows nt 6.1; wow64; rv:21.0) gecko/20130401firefox/21.0
mozilla/5.0 (windows nt 6.1; wow64; rv:23.0) gecko/20130406firefox/23.0
mozilla/5.0 (windows nt 6.1; win64; x64; rv:23.0) gecko/20131011firefox/23.0
為何攻擊者們不在聚焦於單一漏洞,而是關注如此多不同的漏洞。(為了更大化的發現可被攻破的站點)對於每乙個**而言,為何如此重要及時的更新軟體和打補丁。(否則你的**,很可能成為黑客批量攻擊的目標)
攻擊者是如何在短時間內發現大量的漏洞站點。(利用google dock技術)
他們怎麼利用已經攻陷下的主機來繼續擴大攻擊成果。(在攻陷的主機上安裝web **程式,通過**程式來繼續google hacking)
為什麼你的ip位址對攻擊者而言也是乙個非常重要的資源。(可以實現分布式和匿名攻擊)
從apache日誌中找出訪問IP
apache日誌分析可以獲得很多有用的資訊,現在來試試最基本的,獲取最多訪問的前10個ip位址及訪問次數。cat access.log awk sort uniq c sort rn wc l 統計訪問ip的總數 cat access.log awk sort uniq c sort rn 統計訪問...
錯誤日誌和訪問日誌
錯誤日誌和訪問日誌一樣也是apache的標準日誌。本文分析錯誤日誌的內容,介紹如何設定和錯誤日誌相關的選項,文件錯誤和cgi錯誤的分類,以及如何方便地檢視日誌內容,等等。一 位置和內容 錯誤日誌無論在格式上還是在內容上都和訪問日誌不同。然而,錯誤日誌和訪問日誌一樣也提供豐富的資訊,我們可以利用這些資...
Nginx訪問日誌
日誌對於統計排錯來說非常有利的。nginx的log日誌分為access log 和 error log.nginx。其中access log 記錄了哪些使用者,哪些頁面以及使用者瀏覽器 ip和其他的訪問資訊。error log 則是記錄伺服器錯誤日誌。日誌相關的配置有 access log erro...