在日志文件中,它显示用户正在运行一个名为“Hydra”的程序,这是一个用于攻击网络协议的密码破解工具。
日志文件
172.16.2.136 - - [05/Feb/2013:00:36:00 +0000] "GET /login.php?username=jsmith&password=EEZ HTTP/1.0" 302 490 "-" "Mozilla/5.0 (Hydra)"
通过阅读日志文件,我可以看到他们正在运行登录脚本。这是为一个用户帐户运行一个密码多个密码。我认为他们试图闯入的网络协议是“HTTP/1.0”,但我不明白“302 490”-“”是什么,有人可以向我解释一下吗?
首先重要的是了解日志行的格式。那件事有文档:
您使用非默认格式,如下所示:
NCSA 扩展/组合日志格式
"%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\""
然后在页面的开头,你可以看到所有格式化字符的描述,你对这些感兴趣:
%s 状态。对于内部重定向的请求,这是原始请求的状态。使用 %>s 作为最终状态。
%b 响应大小(以字节为单位),不包括 HTTP 标头。在 CLF 格式中,即在没有发送字节时使用“-”而不是 0。
%{Referer}i可能是自我描述的。
并回答你原来的问题:
此日志文件中使用了什么攻击方法?
攻击者正在运行简单的蛮力攻击,但可能是在一些写得很糟糕的登录表单上使用 GET 方法发送登录信息。
HTTP 响应状态码 302 Found 是执行 URL 重定向的常用方法。[维基百科]