導航:首頁 > 配伺服器 > 為什麼伺服器被攻擊

為什麼伺服器被攻擊

發布時間:2022-01-23 19:52:01

A. 伺服器被攻擊問題如何解決

當伺服器被攻擊時,最容易被人忽略的地方,就是記錄文件,伺服器的記錄文件了黑客活動的蛛絲馬跡。在這里,我為大家介紹一下兩種常見的網頁伺服器中最重要的記錄文件,分析伺服器遭到攻擊後,黑客在記錄文件中留下什麼記錄。

目前最常見的網頁伺服器有兩種:Apache和微軟的Internet Information Server (簡稱IIS)。這兩種伺服器都有一般版本和SSL認證版本,方便黑客對加密和未加密的伺服器進行攻擊。

IIS的預設記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下,文件名是當天的日期,如yymmdd.log。系統會每天產生新的記錄文件。預設的格式是W3C延伸記錄文件格式(W3C Extended Log File Format),很多相關軟體都可以解譯、分析這種格式的檔案。記錄文件在預設的狀況下會記錄時間、客戶端IP地址、method(GET、POST等)、URI stem(要求的資源)、和HTTP狀態(數字狀態代碼)。這些欄位大部分都一看就懂,可是HTTP狀態就需要解讀了。一般而言,如果代碼是在200到299代表成功。常見的200狀態碼代表符合客戶端的要求。300到399代表必須由客戶端採取動作才能滿足所提出的要求。400到499和500到599代表客戶端和伺服器有問題。最常見的狀態代碼有兩個,一個是404,代表客戶端要求的資源不在伺服器上,403代表的是所要求的資源拒絕服務。Apache記錄文件的預設儲存位置在/usr/local/apache/logs。最有價值的記錄文件是access_log,不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個欄位,包括客戶端IP地址、特殊人物識別符、用戶名稱、日期、Method Resource Protocol(GET、POST等;要求哪些資源;然後是協議的版本)、HTTP狀態、還有傳輸的位元組。

我在這里所用的是與黑客用的相似的模擬攻擊網站方式和工具。(注意:在本文中所介紹的方法請大家不要試用,請大家自覺遵守網路准則!)

分析過程

網頁伺服器版本是很重要的信息,黑客一般先向網頁伺服器提出要求,讓伺服器送回本身的版本信息。只要把「HEAD / HTTP/1.0」這個字元串用常見的netcat utility(相關資料網址:http://www.l0pht.com/~weld/netcat/)和OpenSSL binary(相關資料網址:http://www.openssl.org/)送到開放伺服器的通訊埠就成了。注意看下面的示範:

C:>nc -n 10.0.2.55 80

HEAD / HTTP/1.0

HTTP/1.1 200 OK

Server: Microsoft-IIS/4.0

Date: Sun, 08 Mar 2001 14:31:00 GMT

Content-Type: text/html

Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

Cache-control: private

這種形式的要求在IIS和Apache的記錄文件中會生成以下記錄:

IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200

Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

雖然這類要求合法,看似很平常,不過卻常常是網路攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個要求是連到SSL伺服器還是一般的網頁伺服器,可是Apache的 ssl_request_log和ssl_engine_log(在/usr/local/apache/logs目錄下)這兩個記錄文件就會記錄是否有聯機到SSL伺服器。請看以下的ssl_request_log記錄文件:

[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0

第三和第四個欄位表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發出的要求。

[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692

[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692

[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692

[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 「GET / HTTP/1.0」 2692

另外黑客通常會復制一個網站(也就是所謂的鏡射網站。),來取得發動攻擊所需要的信息。網頁原始碼中的批註欄位常有目錄、文件名甚至密碼的有用資料。復制網站常用的工具包括窗口系統的Teleport Pro(網址:http://www.tenmax.com/teleport/pro/home.htm)和Unix系統的wget(網址:http://www.gnu.org/manual/wget/)。在這里我為大家分析wget和TeleportPro這兩個軟體攻擊網頁伺服器後記錄文件中的內容。這兩個軟體能全面快速搜尋整個網站,對所有公開的網頁提出要求。只要檢查一下記錄文件就知道,要解譯鏡射這個動作是很簡單的事。以下是IIS的記錄文件:

16:28:52 11.1.2.80 GET /Default.asp 200

16:28:52 11.1.2.80 GET /robots.txt 404

16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200

16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200

16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200

16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200

16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

註:11.1.2.80這個主機是Unix系統的客戶端,是用wget軟體發出請求。

16:49:01 11.1.1.50 GET /Default.asp 200

16:49:01 11.1.1.50 GET /robots.txt 404

16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200

16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200

16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200

16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200

16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200

註:11.1.1.50系統是窗口環境的客戶端,用的是TeleportPro發出請求。

注意:以上兩個主機都要求robots.txt這個檔,其實這個檔案是網頁管理員的工具,作用是防止wget和TeleportPro這類自動抓文件軟體對某些網頁從事抓取或搜尋的動作。如果有人提出robots.txt檔的要求,常常代表是要鏡射整個網站。但,TeleportPro和wget這兩個軟體都可以把要求robots.txt這個文件的功能取消。另一個偵測鏡射動作的方式,是看看有沒有同一個客戶端IP反復提出資源要求。

黑客還可以用網頁漏洞稽核軟體:Whisker(網址:http://www.wiretrip.net/),來偵查網頁伺服器有沒有安全後門(主要是檢查有沒有cgi-bin程序,這種程序會讓系統產生安全漏洞)。以下是IIS和Apache網頁伺服器在執行Whisker後產生的部分記錄文件。

IIS:

13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404

13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200

13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404

13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200

13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200

13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404

13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200

13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200

13:17:56 11.1.1.50 HEAD /carbo.dll 404

13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403

13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500

13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500

Apache:

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0

大家要偵測這類攻擊的關鍵,就在於從單一IP地址發出大量的404 HTTP狀態代碼。只要注意到這類信息,就可以分析對方要求的資源;於是它們就會拚命要求提供 cgi-bin scripts(Apache 伺服器的 cgi-bin 目錄;IIS伺服器的 scripts目錄)。

小結

網頁如果被人探訪過,總會在記錄文件留下什麼線索。如果網頁管理員警覺性夠高,應該會把分析記錄文件作為追查線索,並且在檢查後發現網站真的有漏洞時,就能預測會有黑客攻擊網站。

接下來我要向大家示範兩種常見的網頁伺服器攻擊方式,分析伺服器在受到攻擊後黑客在記錄文件中痕跡。

(1)MDAC攻擊

MDAC攻擊法可以讓網頁的客戶端在IIS網頁伺服器上執行命令。如果有人開始攻擊IIS伺服器,記錄文件就會記下客戶端曾經呼叫msadcs.dll文檔:

17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200

17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200

(2)利用原始碼漏洞

第二種攻擊方式也很普遍,就是會影響ASP和Java網頁的暴露原始碼漏洞。最晚被發現的安全漏洞是 +.htr 臭蟲,這個bug會顯示ASP原始碼。 如果有人利用這個漏洞攻擊,就會在IIS的記錄文件裡面留下這些線索:

17:50:13 11.1.2.80 GET /default.asp+.htr 200

網頁常會只讓有許可權的使用者進入。接下來我們要讓各位看 Apache的access_log記錄文件會在登錄失敗時留下什麼線索:

12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

註:第三欄裡面的使用者名稱是「user」。還有要注意HTTP的狀態代號是401,代表非法存取。

B. 伺服器被攻擊是這么回事啊

具體是什麼樣的攻擊? DDOS流量攻擊還是CC攻擊 還是被掛馬了?
症狀怎麼樣的?

C. 我的伺服器一直被攻擊伺服器被攻擊怎麼解決

具體是什麼症狀呢是流量攻擊還是CC攻擊如果是這兩種的話建議聯系機房開啟硬防或使用高防CDN來處理

如果是伺服器被入侵被篡改的話建議找專業做安全的來處理。

D. 伺服器被攻擊幾個意思

一般指的流量攻擊 cc攻擊
也有人理解為被入侵了,
文件被修改了,
數據被盜走了

E. 公司伺服器老是被攻擊

伺服器常被攻擊表明很可能存在安全漏洞,建議及時查找漏洞,安裝補丁、升級系統,並做好伺服器的日常防護。
1.設置復雜密碼
不要小看密碼設置,其對於保持在線安全和保護數據至關重要。創建復雜的雲服務密碼,字元越多,電腦就越難猜出。特殊字元、數字和字母的隨機組合要比姓名或生日更強。
2.殺毒和高防應用
為伺服器建立多道防線,殺毒程序通常可以在病毒感染電腦前識別並清除掉。專業的高防服務是應對攻擊的最好辦法,推薦西部數碼的ddos高防,可有效防禦各類ddos攻擊。
3.保持備份和更新
保持應用程序更新到最新版。如果網站是基於WordPress的,建議把不使用的插件卸載或完全刪除,而不只是禁用。在更新之前備份重要數據。另外,仔細檢查文件許可權,誰有何種級別的許可權。
4.部署SSL證書
網站最好使用SSL證書。超過一半以上的網站已經加密了,不要落下。在網頁上如需提交敏感信息,優先檢查網站域名前是否是https。瀏覽器會在這種鏈接前顯示一個綠色鎖圖標。
5.資料庫避免敏感信息
存在資料庫里的身份證和銀行卡信息是易受攻擊和盜取的目標。所以,建議不要把此類信息存儲在資料庫中。

F. 伺服器被攻擊了怎麼解決

1.切斷網路
所有的攻擊都來自於網路,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開伺服器的網路連接,這樣除了能切斷攻擊源之外,也能保護伺服器所在網路的其他主機。
2.查找攻擊源
可以通過分析系統日誌或登錄日誌文件,查看可疑信息,同時也要查看系統都打開了哪些埠,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
4.備份用戶數據
在伺服器遭受攻擊後,需要立刻備份伺服器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在伺服器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。

G. 伺服器為什麼會被攻擊

伺服器會被攻擊的原因有很多,競爭對手僱人進行攻擊、利益使然、純粹是為了黑而黑,或者是拿來練手等。最重要的還是做好安全防禦工作,可以看下安全狗的產品。

H. 伺服器被攻擊,怎麼辦

過濾的話恐怕沒大用,這兩個IP看著像是ADSL的用戶,使用的是隨機IP。
所以還是從伺服器本身著手吧,檢查下,估計是有漏洞了(不一定有補丁可打,因為可能是0DAY)。檢查下後門程序,用殺軟的話就多換幾個試下,建議用不特別出名的,譬如麥咖啡一類的,因為後門(如果有的話)基本都做過免殺處理的。對了,還要檢查下埠,看看有無不明連接。基本就是這樣了,GOOD LUCK。

I. 為什麼伺服器一直被ddos攻擊怎麼辦

最有效的方法就是上硬防,用防火牆來處理不正常的數據包,軟防不行的,看訪問的數據有多少。

閱讀全文

與為什麼伺服器被攻擊相關的資料

熱點內容
程序員三高 瀏覽:178
pythonfiddle 瀏覽:215
韓信分油總共有幾種演算法 瀏覽:941
程序員思維方案 瀏覽:970
編譯環境要裝c盤嗎 瀏覽:648
單片機生成pwm 瀏覽:206
線上租車有什麼app 瀏覽:908
php程序修改 瀏覽:684
下列能查找文件或文件夾的操作是 瀏覽:314
遙感科學與技術演算法待遇 瀏覽:136
cad標注半徑命令 瀏覽:367
打卡領購app邀請碼怎麼填 瀏覽:336
編程訪問許可權沖突 瀏覽:152
桌面運維如何轉伺服器運維 瀏覽:627
tomcat如何設置伺服器 瀏覽:679
php編譯支持mysql 瀏覽:817
mir4手游安卓版怎麼玩國際服 瀏覽:23
伺服器程序怎麼刪除 瀏覽:657
阿里年薪70萬程序員名單照片 瀏覽:575
android定製輸入法 瀏覽:758