| 網站被“成功”注入,網站一些頁面被插入了下載病毒的代碼,經查: 生產服務器的代碼沒有任何被改動過的跡象,排除服務器被入侵,代碼被篡改的可能; 有病毒下載代碼的部分,在數據庫里真實看到了篡改跡象,可以排除ARP欺騙的可能; 同上,能確定網站被SQL注入攻擊了,因為數據庫被篡改了。 由于是被攻擊后馬上發現的現象,可以判斷攻擊此刻應該正在繼續(后來檢查的結果證明的確是這樣),如何能盡快阻止攻擊呢?我有2個思路(如果各位有更好的思路,期待您的指點): 馬上找到含有SQL注入漏洞的程序,修復之; 馬上增加一個應用程序防火墻(Application Firewall),從HTTP請求時就阻斷攻擊。 第一個思路幾乎是不可能馬上完成的任務,第二個思路還可行,因為前段時間上海天存信息技術有限公司曾提供給我們試用iWall應用防火墻(正式產品是收費的),還記得當時一位朋友提供給我的開源應用程序防火墻WebKnight,我信賴開源,所以我選擇了后者。 如何在IIS6中安裝WebKnight? 我們的 WebServer 是 IIS6,所以這里只介紹IIS6的安裝,我見有些帖子介紹WebKnight的安裝時,說只有把IIS調整成IIS5.0隔離模式(IIS5.0 isolation mode)才可以,但實際上WebKnight的官方網站有介紹不需要此操作即可安裝的辦法,但這需要放棄WebKnight的全局配置特性,相比放棄IIS6.0,我更愿意放棄WebKnight的這個特性: 首先下載一份WebKnight,下載地址:http://aqtronix.com/?PageID=99#Download(注,這不是直接下載地址,點開后需要再點擊WebKnight 2.2 (Release date: 2008.09.02),以防更新后各位朋友還下載舊的版本) 解壓后有2個目錄Setup、Source,其中Source是源碼,我們這里只需要安裝,進入Setup 進入Setup后還有2個目錄:w32代表32位;x64代表64位;按照您服務器的操作系統來選擇即可,我這里選x64(由于WebKnight的32位、64位文件結構完全相同,所以下面的內容完全適用與32位操作系統) 確保自己的每一個網站都運行在獨立的應用程序池中; 在WebKnight的配置程序中 取消選擇“Global Filter Capabilities”下的“Is Installed As Global Filter” 選擇“Logging”下的“Per Process Logging”,這樣每一個應用程序池的實例都會加載一個單獨的WebKnight實例 確保Windows用戶NETWORK SERVICE(或您設定的應用程序池的其他用戶)有WebKnight文件夾的修改權限 拷貝第3步中x64文件夾中的所有文件到服務器上(如:F:\WebKnight\WebSite1\),注意:每一個網站均需要一個獨立完整的WebKnight,不可共用 打開IIS Manager 在需要安裝WebKnight的網站上點擊右鍵 > 屬性 > ISAPI filters 點擊添加 > Filter Name隨意,如(WebKnight),Excutable選擇WebKnight目錄下的WebKnight.dll(注意:要選網站所屬的WebKnight目錄,不要選錯) 點擊確定,完成安裝 點擊WebKnight目錄中的Config.exe,具體配置方法見下一節,配置完成后再進行下一步,切記 在以上操作后,重新啟動IIS(重啟IIS其實可以避免,只需將配置WebKnight的網站的應用程序池停止再啟動即可) 如何配置WebKnight 聲明:由于WebKnight的配置很多,這里我只寫一下推薦配置,個人觀點,僅供參考,如果更好的建議,期待您的分享 在WebKnight目錄中(如:F:\WebKnight\WebSite1\),雙擊Config.exe開始配置,在彈出的Open Configuration對話框中,選擇WebKnight.xml Scanning Engine 掃描引擎 無需更改默認配置 Incident Response Handling 已發生攻擊的處理 如果您希望有人攻擊時看到的頁面是WebKnight目錄中的denied.htm,選擇Response Directly即可; 如果您希望有人攻擊時看到的頁面是您網站下的某個文件(如:http://www.xxx.com/Error/Denied.htm),選擇Response Redirect,并在下面的Response Redirect URL中填寫您網站下文件的路徑(如:/Error/Denied.htm) 如果您只希望記錄攻擊,但不希望中斷用戶的訪問,您可以選擇Response Log Only Logging 日志 如果日志量特別大,請取消選擇Enabled,否則很有可能磁盤可用空間不知不覺就沒有了,還有可能有比較嚴重的磁盤I/O性能問題 日志默認是存儲在WebKnight目錄下的LogFiles文件夾中,如果您想改變該路徑,可以修改Log Directory的值 WebKnight每天的日志是由不同文件存儲的,默認保存28天的數據,您可以在Log Retention中修改該值 Connection 連接 無需更改默認配置 Authentication 安全認證 無需更改默認配置 Request Limits 請求限制 取消選擇Limit Content Length(Content-Length是header中的一個值,代表所請求元素的尺寸),我個人覺得這項沒有必要選擇,因為元素尺寸有可能很大 取消選擇Limit URL(即限制URL的長度),原因同上,URL也可能很長 取消選擇Limit Query String(即查詢字符串的長度),原因同上,查詢字符串也可能很長 取消選擇Limit HTTP Version(即HTTP版本),我感覺沒有必要限制HTTP版本,有可能會造成使用過舊版本瀏覽器的用戶無法訪問自己的網站 取消選擇Use Max Headers(即限制Headers中各項的最大長度)。我一開始是選擇了該項的,但在我的實踐中,由于我們用了網站流量統計、廣告合作代碼等,導致Headers中的一些項超長,阻止了相當多的正常請求,所以我想干脆一勞永逸,取消選擇了該項 URL Scanning 網址掃描 取消選擇RFC Compliant URL、RFC Compliant HTTP Url、Deny Url HighBitShellCode,勾選了這三項,很多不太標準的URL格式就會無法訪問,比如包含中文的URL 取消選擇Deny URL Backslash,因為我們網站中,“\”在URL里面也會用到 在URL Denied Sequences中,描述了拒絕請求的一些URL字符串,如果其中有您網站中正在使用的,可以刪除,方法是選中要刪除的項目,右鍵,點擊Remove Selected Mapped Path 映射目錄 Use Allowed Paths,這項保持勾選,因為這項可以限制Web程序可以訪問的服務器上的物理路徑,我們需要做的只是在下面的Allowed Paths中添加上我們自己的網站物理路徑,比如F:\WebSite1,添加方法是在任意項上點擊右鍵 > Insert Item > 輸入物理路徑后,回車即可 Requested File 被請求的文件 在Denied Files(拒絕請求的文件)中,去掉網站允許請求的文件,如:log.htm、logfiles 在Denied Extensions(拒絕請求的后綴名)中,去掉網站循序請求的后綴名,如:shtm Robots 蜘蛛程序 無需更改默認配置 Headers 頭信息 Server Header中,可以修改Header中的Server字段的值,我覺得這個也可以改改,挺好玩的 為了防止組織合法的請求,取消勾選RFC Compliant Host Header、Use Denied Headers ContentType 內容類型 取消選擇Use Allowed Content Types,若選中,則無法上傳文件 Cookie 這個就不需要翻譯成中文了吧:) 無需更改默認配置 User Agent 用戶代理/客戶端 取消勾選Deny User Agent Empty、Deny User Agent Non RFC,否則有部分合法訪問會被拒絕 Referrer 訪問來路 取消選擇Use Referrer Scanning,因為我覺得一個訪問的來路可能不會有太嚴重的安全問題,還是為了盡量讓合法的請求通過,我選擇取消勾選該項 Methods HTTP請求方法 無需更改默認配置 Querystring 查詢字符串 無需更改默認配置 Global Filter Capabilities 全局過濾功能 取消勾選Is Installed As Global Filter,切記,該項一定要取消選擇,否則WebKnight不能正產工作 SQL Injection SQL 注入 無需更改默認配置 Web Applications Web應用程序 勾選Allow File Uploads,否則上傳文件的功能會失效 勾選Allow Unicode 勾選Allow ASP NET 如果您的網站需要支持ASP,勾選Allow ASP 同理,您的網站需要支持什么,請您自己選擇需要勾選的項 修改后,記得通過菜單欄File > Save 來保存配置(或通過快捷鍵Ctrl+S),保存配置后,就可以重啟IIS或應用程序池來啟用WebKnight了 提示:您可以通過查看WebKnight的日志,來查看哪些合法請求被阻止了,然后修改相應的配置 |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
