為什麼伺服器被攻擊

A. 伺服器被攻擊問題如何解決

當伺服器被攻擊時，最容易被人忽略的地方，就是記錄文件，伺服器的記錄文件了黑客活動的蛛絲馬跡。在這里，我為大家介紹一下兩種常見的網頁伺服器中最重要的記錄文件，分析伺服器遭到攻擊後，黑客在記錄文件中留下什麼記錄。

目前最常見的網頁伺服器有兩種：Apache和微軟的Internet Information Server （簡稱IIS）。這兩種伺服器都有一般版本和SSL認證版本，方便黑客對加密和未加密的伺服器進行攻擊。

IIS的預設記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下，文件名是當天的日期，如yymmdd.log。系統會每天產生新的記錄文件。預設的格式是W3C延伸記錄文件格式（W3C Extended Log File Format），很多相關軟體都可以解譯、分析這種格式的檔案。記錄文件在預設的狀況下會記錄時間、客戶端IP地址、method（GET、POST等）、URI stem（要求的資源）、和HTTP狀態（數字狀態代碼）。這些欄位大部分都一看就懂，可是HTTP狀態就需要解讀了。一般而言，如果代碼是在200到299代表成功。常見的200狀態碼代表符合客戶端的要求。300到399代表必須由客戶端採取動作才能滿足所提出的要求。400到499和500到599代表客戶端和伺服器有問題。最常見的狀態代碼有兩個，一個是404，代表客戶端要求的資源不在伺服器上，403代表的是所要求的資源拒絕服務。Apache記錄文件的預設儲存位置在/usr/local/apache/logs。最有價值的記錄文件是access_log，不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個欄位，包括客戶端IP地址、特殊人物識別符、用戶名稱、日期、Method Resource Protocol（GET、POST等；要求哪些資源；然後是協議的版本）、HTTP狀態、還有傳輸的位元組。

我在這里所用的是與黑客用的相似的模擬攻擊網站方式和工具。（注意：在本文中所介紹的方法請大家不要試用，請大家自覺遵守網路准則！）

分析過程

網頁伺服器版本是很重要的信息，黑客一般先向網頁伺服器提出要求，讓伺服器送回本身的版本信息。只要把「HEAD / HTTP/1.0」這個字元串用常見的netcat utility（相關資料網址：http://www.l0pht.com/~weld/netcat/）和OpenSSL binary（相關資料網址：http://www.openssl.org/）送到開放伺服器的通訊埠就成了。注意看下面的示範：

C:>nc -n 10.0.2.55 80

HEAD / HTTP/1.0

HTTP/1.1 200 OK

Server: Microsoft-IIS/4.0

Date: Sun, 08 Mar 2001 14:31:00 GMT

Content-Type: text/html

Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

Cache-control: private

這種形式的要求在IIS和Apache的記錄文件中會生成以下記錄：

IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200

Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

雖然這類要求合法，看似很平常，不過卻常常是網路攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個要求是連到SSL伺服器還是一般的網頁伺服器，可是Apache的 ssl_request_log和ssl_engine_log（在/usr/local/apache/logs目錄下）這兩個記錄文件就會記錄是否有聯機到SSL伺服器。請看以下的ssl_request_log記錄文件：

[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0

第三和第四個欄位表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發出的要求。

[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692

[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692

[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692

[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 「GET / HTTP/1.0」 2692

另外黑客通常會復制一個網站（也就是所謂的鏡射網站。），來取得發動攻擊所需要的信息。網頁原始碼中的批註欄位常有目錄、文件名甚至密碼的有用資料。復制網站常用的工具包括窗口系統的Teleport Pro（網址：http://www.tenmax.com/teleport/pro/home.htm）和Unix系統的wget（網址：http://www.gnu.org/manual/wget/）。在這里我為大家分析wget和TeleportPro這兩個軟體攻擊網頁伺服器後記錄文件中的內容。這兩個軟體能全面快速搜尋整個網站，對所有公開的網頁提出要求。只要檢查一下記錄文件就知道，要解譯鏡射這個動作是很簡單的事。以下是IIS的記錄文件：

16:28:52 11.1.2.80 GET /Default.asp 200

16:28:52 11.1.2.80 GET /robots.txt 404

16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200

16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200

16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200

16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200

16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

註：11.1.2.80這個主機是Unix系統的客戶端，是用wget軟體發出請求。

16:49:01 11.1.1.50 GET /Default.asp 200

16:49:01 11.1.1.50 GET /robots.txt 404

16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200

16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200

16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200

16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200

16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200

註：11.1.1.50系統是窗口環境的客戶端，用的是TeleportPro發出請求。

注意：以上兩個主機都要求robots.txt這個檔，其實這個檔案是網頁管理員的工具，作用是防止wget和TeleportPro這類自動抓文件軟體對某些網頁從事抓取或搜尋的動作。如果有人提出robots.txt檔的要求，常常代表是要鏡射整個網站。但，TeleportPro和wget這兩個軟體都可以把要求robots.txt這個文件的功能取消。另一個偵測鏡射動作的方式，是看看有沒有同一個客戶端IP反復提出資源要求。

黑客還可以用網頁漏洞稽核軟體：Whisker（網址：http://www.wiretrip.net/），來偵查網頁伺服器有沒有安全後門（主要是檢查有沒有cgi-bin程序，這種程序會讓系統產生安全漏洞）。以下是IIS和Apache網頁伺服器在執行Whisker後產生的部分記錄文件。

IIS：

13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404

13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200

13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404

13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200

13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200

13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404

13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200

13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200

13:17:56 11.1.1.50 HEAD /carbo.dll 404

13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403

13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500

13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500

Apache：

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0

大家要偵測這類攻擊的關鍵，就在於從單一IP地址發出大量的404 HTTP狀態代碼。只要注意到這類信息，就可以分析對方要求的資源；於是它們就會拚命要求提供 cgi-bin scripts（Apache 伺服器的 cgi-bin 目錄；IIS伺服器的 scripts目錄）。

小結

網頁如果被人探訪過，總會在記錄文件留下什麼線索。如果網頁管理員警覺性夠高，應該會把分析記錄文件作為追查線索，並且在檢查後發現網站真的有漏洞時，就能預測會有黑客攻擊網站。

接下來我要向大家示範兩種常見的網頁伺服器攻擊方式，分析伺服器在受到攻擊後黑客在記錄文件中痕跡。

（1）MDAC攻擊

MDAC攻擊法可以讓網頁的客戶端在IIS網頁伺服器上執行命令。如果有人開始攻擊IIS伺服器，記錄文件就會記下客戶端曾經呼叫msadcs.dll文檔：

17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200

17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200

（2）利用原始碼漏洞

第二種攻擊方式也很普遍，就是會影響ASP和Java網頁的暴露原始碼漏洞。最晚被發現的安全漏洞是 +.htr 臭蟲，這個bug會顯示ASP原始碼。 如果有人利用這個漏洞攻擊，就會在IIS的記錄文件裡面留下這些線索：

17:50:13 11.1.2.80 GET /default.asp+.htr 200

網頁常會只讓有許可權的使用者進入。接下來我們要讓各位看 Apache的access_log記錄文件會在登錄失敗時留下什麼線索：

12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

註：第三欄裡面的使用者名稱是「user」。還有要注意HTTP的狀態代號是401，代表非法存取。

B. 伺服器被攻擊是這么回事啊

具體是什麼樣的攻擊？ DDOS流量攻擊還是CC攻擊 還是被掛馬了？
症狀怎麼樣的？

C. 我的伺服器一直被攻擊伺服器被攻擊怎麼解決

具體是什麼症狀呢是流量攻擊還是CC攻擊如果是這兩種的話建議聯系機房開啟硬防或使用高防CDN來處理

如果是伺服器被入侵被篡改的話建議找專業做安全的來處理。

D. 伺服器被攻擊幾個意思

一般指的流量攻擊 cc攻擊
也有人理解為被入侵了，
文件被修改了，
數據被盜走了

E. 公司伺服器老是被攻擊

伺服器常被攻擊表明很可能存在安全漏洞，建議及時查找漏洞，安裝補丁、升級系統，並做好伺服器的日常防護。
1.設置復雜密碼
不要小看密碼設置，其對於保持在線安全和保護數據至關重要。創建復雜的雲服務密碼，字元越多，電腦就越難猜出。特殊字元、數字和字母的隨機組合要比姓名或生日更強。
2.殺毒和高防應用
為伺服器建立多道防線，殺毒程序通常可以在病毒感染電腦前識別並清除掉。專業的高防服務是應對攻擊的最好辦法，推薦西部數碼的ddos高防，可有效防禦各類ddos攻擊。
3.保持備份和更新
保持應用程序更新到最新版。如果網站是基於WordPress的，建議把不使用的插件卸載或完全刪除，而不只是禁用。在更新之前備份重要數據。另外，仔細檢查文件許可權，誰有何種級別的許可權。
4.部署SSL證書
網站最好使用SSL證書。超過一半以上的網站已經加密了，不要落下。在網頁上如需提交敏感信息，優先檢查網站域名前是否是https。瀏覽器會在這種鏈接前顯示一個綠色鎖圖標。
5.資料庫避免敏感信息
存在資料庫里的身份證和銀行卡信息是易受攻擊和盜取的目標。所以，建議不要把此類信息存儲在資料庫中。

F. 伺服器被攻擊了怎麼解決

1.切斷網路
所有的攻擊都來自於網路，因此，在得知系統正遭受黑客的攻擊後，首先要做的就是斷開伺服器的網路連接，這樣除了能切斷攻擊源之外，也能保護伺服器所在網路的其他主機。
2.查找攻擊源
可以通過分析系統日誌或登錄日誌文件，查看可疑信息，同時也要查看系統都打開了哪些埠，運行哪些進程，並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.分析入侵原因和途徑
既然系統遭到入侵，那麼原因是多方面的，可能是系統漏洞，也可能是程序漏洞，一定要查清楚是哪個原因導致的，並且還要查清楚遭到攻擊的途徑，找到攻擊源，因為只有知道了遭受攻擊的原因和途徑，才能刪除攻擊源同時進行漏洞的修復。
4.備份用戶數據
在伺服器遭受攻擊後，需要立刻備份伺服器上的用戶數據，同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中，一定要徹底刪除，然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源，因為沒有人能比黑客更了解攻擊程序，在伺服器遭到攻擊後，最安全也最簡單的方法就是重新安裝系統，因為大部分攻擊程序都會依附在系統文件或者內核中，所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後，首先要做的就是修復系統漏洞或者更改程序bug，因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。

G. 伺服器為什麼會被攻擊

伺服器會被攻擊的原因有很多，競爭對手僱人進行攻擊、利益使然、純粹是為了黑而黑，或者是拿來練手等。最重要的還是做好安全防禦工作，可以看下安全狗的產品。

H. 伺服器被攻擊,怎麼辦

過濾的話恐怕沒大用，這兩個IP看著像是ADSL的用戶，使用的是隨機IP。
所以還是從伺服器本身著手吧，檢查下，估計是有漏洞了（不一定有補丁可打，因為可能是0DAY）。檢查下後門程序，用殺軟的話就多換幾個試下，建議用不特別出名的，譬如麥咖啡一類的，因為後門（如果有的話）基本都做過免殺處理的。對了，還要檢查下埠，看看有無不明連接。基本就是這樣了，GOOD LUCK。

I. 為什麼伺服器一直被ddos攻擊怎麼辦

最有效的方法就是上硬防，用防火牆來處理不正常的數據包，軟防不行的，看訪問的數據有多少。