80端口web服务攻击痕迹事件分析

这个文件是BSD系统的密码文件，包含有加密过的密码，这个文件对root帐号仅仅是只读的，而一些不熟练的攻击者会打开他试图读取里面的内容.，如果web站点是以root权限运行的，那么对攻击者来说，就能够读取里面的内容，对系统管理员很多问题也将接踵而来

\"/etc/shadow\"
包含有加密过的系统口令，对root帐号同样只读，和/et/master.passwd差不多

\"/etc/motd\"
当用户登陆进unix系统中出现的信息，就在这个\"Message of the Day\" 文件中 ，它提供重要的系统信息和管理员对用户的一些设置，那些是希望用户看到的，那些不是，还含有系统的版本信息，攻击者通常查看此文件，了解是什么系统在运行，对攻击者来说，下一步是搜索这种类型的系统的exploit，进一步获得系统特权

\"/etc/hosts\"
该文件提供ip地址和网络信息，攻击者可以了解更多的系统中的网络设置

\"/usr/local/apache/conf/httpd.conf\"
这是个Apache web服务器的配置文件，攻击者可以了解诸如cgi,ssi是否可访问等信息

\"/etc/inetd.conf\"
这是inetd服务的配置文件，攻击者可以了解远程机器上的那些服务启动，是否用了wrapper进行访问控制，如果发现wrapper 运行着，攻击者下一步会检查\"/etc/hosts.allow\" 和 \"/etc/hosts.deny\",文件，并可能会更改里面的一些设置，获得特权

\".htpasswd, .htaccess, and .htgroup\"
这些文件通常在web站点用于对用户身份进行认证，攻击者会查看这些文件，并获得用户名和密码，密码文件.htpasswd被加密过，通过一些简单的破解程序进行解密，使攻击者访问站点中被保护的区域（通常用户用和用户名相同的密码，以至攻击者可以以其他帐号进行访问）

\"access_log and error_log\"
这些是apache服务器的日志记录文件，攻击者常会查看这些文件，看那些请求被记录，那些和其他请求不同的地方
通常，攻击者会修改这些日志文件，比如他自身的地址信息，攻击者通过80端口突破你的系统，而你的系统又没有进行备份的工作，也没有其他记录程序记录系统状况，这将使入侵检测工作变的很困难

\"[drive-letter]:winntrepairsam._ or [drive-letter]:winntrepairsam\"
Windows NT系统中的密码文件，如果远程命令不可以执行，通常攻击者会请求这些文件，然后通过\"l0pht crack\"之类的密码破解工具进行破解，如果攻击者试图攻击administrator的密码文件，如果成功那么远程机器将被攻击者得到控制权

[溢出 分析]
我不会在这篇文章中说过多的关于溢出的话题，我将举列说明那些现象和痕迹值得注意和特别关注的地方，缓冲攻击常被攻击者通过编码转换和其他途径来达到不易发现

下面是个简单的列子
Example: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA