80端口web服务攻击痕迹事件分析

    这个列子展示了攻击者对某个应用程序发送很多的A字符，来测试程序的缓冲溢出，缓冲溢出可以获得远程主机的命令执行权限，如果是具有setuid和属主为root的程序，通过溢出，可以得到整个系统的访问权限，如果不是setuid之类的程序，那么溢出仅仅是得到运行该web站点的用户权限

    这里并不能讲述所有的情况，不过你应该有定时的检查你的日志文件，如果那一天突然发现很多的请求，而平时的请求不多，那么说明你正遭受到溢出的攻击，当然也可能是一种新的网络蠕虫的攻击

[编码转换]
    以上提及的所有攻击请求，攻击者通常知晓IDS系统常会机械的检查这些请求，通常是攻击者会用编码转换工具将所请求的内容转化成16进制的格式，导致IDS会忽略这些请求，我们熟知的CGI漏洞扫描工具Whisker就是个很好的列子。如果你在查看日志的时候发现大量的16进制和不常见的一些字符，那么可能攻击者尝试用一些方式对你的系统进行攻击 一种快速发现的方法是，将你的日志文件中的那些16进制的请求，拷贝到你的浏览器中，通过浏览器可以转化成正确的请求，并显示出来请求的内容，如果你不敢冒这个危险，简单的man ASCII，可以提供给你正确的编码。

[结论]
    这篇文章不可能覆盖所有的80端口的攻击，但是以上已经列举了大部分普遍的攻击方式，同时告诉你如何检查你的日志文件，和怎样加如一些IDS的规则，写她的目的在于给web系统管理员应该关注什么提供一个好的思路，同时，我也希望这篇文章可以帮助给web程序的开发者写出更好的web程序