特征描述:
最近檢查網站日志的時候,發現錯誤日志里有大量的異常鏈接,特征-------"/zhibo/3277.html_this_erji_yuming_";[參考圖一]
一直以為是網站內部代碼錯誤,當分析來源時候,發現本身站內不存在該段字符串代碼,但是記錄請求的IP是以154.92.167開頭的網段,
且也存在大量請求網站壓縮資源的異常鏈接----"*.zip"或者"*.rar",
此外還存在以index.php,login.php,manage.php請求格式的鏈接;
分析:
如果網站存在此類壓縮文件,那么訪問域名對應的壓縮名稱,就可以下載到網站的壓縮文件,
猜測:
有人通過解密軟件,大量爆破式請求網站壓縮后綴的文件,拿到網站的備份文件,通過備份文件,找到對應的數據庫密碼,從而破解出網站的登陸方式及用戶密碼,而滲透網站,篡改首頁,劫持快照.
應對:
1.檢查網站目錄中是否存在壓縮文件,如果存在,盡快統統刪除,
2.開啟防火牆,對於同一IP短期內多次批量請求,進行封禁屏蔽<反CC攻擊>,
3.修改后台關鍵目錄,例如admin/manage等目錄進行字符隨機加密,
4.刪除robots文件中,容易暴露文件目錄結構的語句,
5.設置文件修改權限,對數據庫注冊文件進行加密,設置只讀權限,禁止異常目錄寫入.
結果:
經過觀察,以上措施及其他關鍵措施調整后,異常請求基本杜絕,可以達到防止一般滲透的效果.
反思:
1.在服務器不設置任何安防的情況下,響應效率最高,但是不能對來源進行判斷 ,不能判斷是正常的訪問,還是而已滲透測試.
2.如果設置對應的過濾措施,可以對來源進行判斷,反復多次,不應按照正常流量放行,
3.安防只能將風險降低,不能杜絕風險,
