在日志文件中,它显示用户正在运行名为“Hydra”的程序。这是一种用于攻击网络协议的密码破解工具。
日志文件
172.16.2.136 - - [05/Feb/2013:00:36:00 +0000] "GET /login.php?username=jsmith&password=EEZ HTTP/1.0" 302 490 "-" "Mozilla/5.0 (Hydra)"
通过阅读日志文件,我可以看到他们正在运行登录脚本。这是为用户帐户运行密码多个密码。我认为他们试图破解的网络协议是HTTP / 1.0'但我不明白" 302 490" - " "有人能解释一下吗?
答案 0 :(得分:1)
首先要了解日志行的格式。那件事有documentation:
您使用的是非默认格式,如下所示:
NCSA扩展/组合日志格式
"%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\""
然后在页面开头,您可以看到所有格式字符的描述,您对这些字符感兴趣:
%s 状态。对于已内部重定向的请求,这是原始请求的状态。使用%> s作为最终状态。
%b 以字节为单位的响应大小,不包括HTTP标头。以CLF格式,即' - '当没有发送字节时,而不是0。
%{Referer}i可能是自我描述性的。
回答你原来的问题:
此日志文件中使用了哪种攻击方法?
攻击者正在进行简单的暴力攻击,但可能是在一些写得很差的登录表单上使用GET方法发送登录信息。
HTTP响应状态代码302 Found是执行URL重定向的常用方法。 [Wikipedia]