特徵描述:

最近檢查網站日誌的時候,發現錯誤日誌裡有大量的異常連結,特徵-------"/zhibo/3277.html_this_erji_yuming_";[參考圖一]

一直以為是網站內部程式碼錯誤,當分析來源時候,發現本身站內不存在該段字串程式碼,但是記錄請求的IP是以154.92.167開頭的網段,

且也存在大量請求網站壓縮資源的異常連結----"*.zip"或者"*.rar",

此外還存在以index.php,login.php,manage.php請求格式的連結;

分析:

如果網站存在此類壓縮檔案,那麼訪問域名對應的壓縮名稱,就可以下載到網站的壓縮檔案,

猜測:

有人通過解密軟體,大量爆破式請求網站壓縮字尾的檔案,拿到網站的備份檔案,通過備份檔案,找到對應的資料庫密碼,從而破解出網站的登陸方式及使用者密碼,而滲透網站,篡改首頁,劫持快照.

應對:

1.檢查網站目錄中是否存在壓縮檔案,如果存在,儘快統統刪除,

2.開啟防火牆,對於同一IP短期內多次批量請求,進行封禁遮蔽<反CC攻擊>,

3.修改後臺關鍵目錄,例如admin/manage等目錄進行字元隨機加密,

4.刪除robots檔案中,容易暴露檔案目錄結構的語句,

5.設定檔案修改許可權,對資料庫註冊檔案進行加密,設定只讀許可權,禁止異常目錄寫入.

結果:

經過觀察,以上措施及其他關鍵措施調整後,異常請求基本杜絕,可以達到防止一般滲透的效果.

反思:

1.在伺服器不設定任何安防的情況下,響應效率最高,但是不能對來源進行判斷 ,不能判斷是正常的訪問,還是而已滲透測試.

2.如果設定對應的過濾措施,可以對來源進行判斷,反覆多次,不應按照正常流量放行,

3.安防只能將風險降低,不能杜絕風險,