網(wǎng)站被攻擊入侵
網(wǎng)站被黑被攻擊后����,我們首先要檢查的就是對(duì)網(wǎng)站的訪問(wèn)日志進(jìn)行打包壓縮����,完整的保存下來(lái)�,根據(jù)客戶反映的問(wèn)題時(shí)間,被攻擊的特征等等方面進(jìn)行記錄����,然后一一的對(duì)網(wǎng)站日志進(jìn)行分析,網(wǎng)站的訪問(wèn)日志記錄了所有用戶對(duì)網(wǎng)站的訪問(wèn)記錄��,以及訪問(wèn)了那些頁(yè)面����,網(wǎng)站出現(xiàn)的錯(cuò)誤提示,都可以有利于我們查找攻擊源��,網(wǎng)站存在的那些漏洞也都可以查找出來(lái)�����,并對(duì)網(wǎng)站的漏洞進(jìn)行修復(fù)��。
我們就拿前段時(shí)間某一個(gè)企業(yè)客戶的網(wǎng)站��,進(jìn)行舉例:先看下這個(gè)日志記錄:
2019-06-03 00:01:18 W3SVC6837 202.85.214.117 GET /Review.aspx class=1&byid=23571
80 – 101.89.239.230 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NE
T+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+Media+Center+PC+6
.0;+.NET4.0C;+.NET4.0E;+InfoPath.3;+rv:11.0)+like+Gecko 200 0 0
通過(guò)上面的這一條網(wǎng)站訪問(wèn)日志,我們可以看出��,用戶的訪問(wèn)IP���,以及訪問(wèn)網(wǎng)站的時(shí)間,使用的是windows系統(tǒng)���,還有使用的瀏覽器版本���,訪問(wèn)網(wǎng)站的狀態(tài)都會(huì)寫(xiě)的很清楚。那么網(wǎng)站被攻擊后�����,該如何查看日志�,來(lái)追查攻擊痕跡呢?
首先我們要與客戶溝通確定網(wǎng)站被攻擊的時(shí)間具體在哪一個(gè)時(shí)間段里��,通過(guò)時(shí)間縮小日志范圍�����,對(duì)網(wǎng)站日志逐一的進(jìn)行檢查�����,還可以通過(guò)檢測(cè)網(wǎng)站存在的木馬文件名,進(jìn)行日志查找���,找到文件名���,然后追查攻擊者的IP,通過(guò)以上的線索對(duì)網(wǎng)站的攻擊源與網(wǎng)站漏洞進(jìn)行追查����。日志的打開(kāi)工具使用notepad,有些網(wǎng)站使用的是linux服務(wù)器可以使用一些linux命令進(jìn)行日志的查看,具體命令如下
某一客戶網(wǎng)站被上傳了webshell木馬文件����,攻擊者通過(guò)訪問(wèn)該腳本文件進(jìn)行篡改網(wǎng)站,首頁(yè)的標(biāo)題描述都被篡改成了彩票的內(nèi)容�����,從百度點(diǎn)擊網(wǎng)站進(jìn)去跳轉(zhuǎn)到其他網(wǎng)站上����,客戶本身做了百度推廣,損失慘重,找到我們SINE安全�����,我們根據(jù)客戶的攻擊特征對(duì)網(wǎng)站的訪問(wèn)日志進(jìn)行提取���,并追查網(wǎng)站的攻擊源與網(wǎng)站存在的漏洞����。我們通過(guò)時(shí)間�����,檢查了當(dāng)天的所有用戶IP的訪問(wèn)記錄�����,首先我們?nèi)斯z查到了網(wǎng)站的根目錄下的webshell文件�,通過(guò)該demo.php我們查找日志����,看到有一個(gè)IP在不停的訪問(wèn)該文件,我們對(duì)該IP的所有訪問(wèn)記錄進(jìn)行提取�,分析,發(fā)現(xiàn)該攻擊者訪問(wèn)了網(wǎng)站的上傳頁(yè)面,通過(guò)上傳功能上傳了網(wǎng)站木馬后門(mén)����。
通過(guò)上述日志追查到的IP,以及網(wǎng)站的訪問(wèn)記錄���,我們找到了網(wǎng)站存在的漏洞����,網(wǎng)站的上傳功能并沒(méi)有對(duì)上傳的文件格式進(jìn)行安全判斷與過(guò)濾��,導(dǎo)致可以上傳aspx,以及php等執(zhí)行腳本�����,網(wǎng)站的上傳目錄也沒(méi)有對(duì)其進(jìn)行進(jìn)行安全設(shè)置���,取消腳本的執(zhí)行權(quán)限���,針對(duì)以上情況我們SINE安全對(duì)客戶的網(wǎng)站漏洞進(jìn)行了修復(fù),限制了只運(yùn)行圖片等格式的文件上傳��,對(duì)網(wǎng)站的上傳目錄進(jìn)行安全部署��,還有一系列的網(wǎng)站安全加固,網(wǎng)站被攻擊后��,首先不要慌�����,應(yīng)該第一時(shí)間對(duì)網(wǎng)站的日志進(jìn)行分析��,查找攻擊源與網(wǎng)站存在的漏洞���,如果您對(duì)網(wǎng)站不是太懂的話也可以找專業(yè)的網(wǎng)站安全公司來(lái)處理�����,專業(yè)的事情交給專業(yè)的來(lái)做,不管是網(wǎng)站的日志�,還是網(wǎng)站的源代碼,我們都要利用起來(lái)��,徹底的找到網(wǎng)站被攻擊的根源�����。
網(wǎng)站被DDOS攻擊
DDos攻擊又叫做分布式拒絕服務(wù)攻擊��。DDos攻擊將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊�,從而成倍地提高拒絕服務(wù)攻擊的威力。該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源����,使得該目標(biāo)系統(tǒng)無(wú)法提供正常的服務(wù)。該攻擊導(dǎo)致的結(jié)果就是你的網(wǎng)站無(wú)法響應(yīng)正常的請(qǐng)求����,正常的流量用戶無(wú)法打開(kāi)的你的網(wǎng)站,無(wú)法訪問(wèn)到你的網(wǎng)站內(nèi)容���。如果你的服務(wù)器是阿里云����、騰訊云這類云服務(wù)器廠商的服務(wù)器��,可選購(gòu)DDoS高防IP產(chǎn)品來(lái)阻止這類攻擊行為�����。
網(wǎng)站被ddos攻擊防御方案:
(1)過(guò)濾不必要的服務(wù)和端口:可以使用Inexpress���、Express�、Forwarding等工具來(lái)過(guò)濾不必要的服務(wù)和端口,即在路由器上過(guò)濾假I(mǎi)P�����。
(2)異常流量的清洗過(guò)濾:通過(guò)DDOS硬件防火墻對(duì)異常流量的清洗過(guò)濾����,通過(guò)數(shù)據(jù)包的規(guī)則過(guò)濾、數(shù)據(jù)流指紋檢測(cè)過(guò)濾�、及數(shù)據(jù)包內(nèi)容定制過(guò)濾等頂尖技術(shù)能準(zhǔn)確判斷外來(lái)訪問(wèn)流量是否正常,進(jìn)一步將異常流量禁止過(guò)濾���。
(3)分布式集群防御:這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的最有效辦法�。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址(負(fù)載均衡)����,并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDOS攻擊��,如一個(gè)節(jié)點(diǎn)受攻擊無(wú)法提供服務(wù)��,系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)���。
(4)高防智能DNS解析:高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合�,為企業(yè)提供對(duì)抗新興安全威脅的超級(jí)檢測(cè)功能。它顛覆了傳統(tǒng)一個(gè)域名對(duì)應(yīng)一個(gè)鏡像的做法�����,智能根據(jù)用戶的上網(wǎng)路線將DNS解析請(qǐng)求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
