「运维日记」26 号被攻击的记录和分析

2018-12-2809:33:01 30 1,677
摘要

今天说到的这些攻击类型,其实服务器自己的WAF都可以进行防范的,但是仅仅依靠WAF是不够的,明月建议如果碰到此类攻击,还是要多种手段相结合来应对的,首先在CDN层面进行第一波攻击的防御措施,开启CDN的WAF、CC防护等等,其次在Web服务器层面进行拦截屏蔽,可参考『Nginx 防止 SQL 注入、XSS 攻击的实践配置方法』一文(实测效果很显著),这个层面的拦截屏蔽会大幅减小服务器承受的负载压力,特别是返回错误代码444的情况下。最后服务器的防火墙、WAF相互结合拦截恶意请求和屏蔽IP并举。经过上述三种方式一般也就阻挡这种攻击了,除非对方穷凶极恶采取CC/DDos攻击,一般的VPS都可以阻挡下来的。

明月的博客自 26 号下午 15 点开始一直持续的被各种扫描、注入、探测、漏洞攻击着,直至下午 18 点左右开始爆发一直持续到 27 号凌晨,从攻击 IP 来判断基本上都集中在山东济南区域,这次明月全程记录分析了整个过程直至困的熬不住了,彻底封禁山东区域 IP 地址段才算是告一段落。今天就给大家分享一下相关的记录和分析。

既然是记录和分析,那么就先从攻击类型记录来分析一下,这次的攻击主要类型分别是「特殊字符 URL 访问」、「文件包含漏洞攻击」、「WVS 扫描」占去了大部分的比例,这三种其实也是很常见的攻击,这次是集中一起来了。先给大家普及一下这三种攻击类型:

  • 特殊字符 URL 访问:

一个路径遍历攻击者将利用一些特殊字符序列来访问文件系统任意位置的文件或可执行指令。这个主要针对的是 Windows 服务器的一种很常见的攻击类型,应该属于是 XSS 范畴。

文件包含漏洞是一种最常见的漏洞类型,它会影响依赖于脚本运行时的 web 应用程序。当应用程序使用攻击者控制的变量构建可执行代码的路径时,文件包含漏洞会导致攻击者任意控制运行时执行的文件。如果一个文件包含这个漏洞,为了方便起见,经常在开发阶段就实施。由于它经常用于程序开发阶段,所以这就为后来的攻击埋下了伏笔并导致了各种基于文件的攻击。文件包含漏洞分为本地文件包含(Loacl File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)。这种漏洞貌不惊人,却危害很大。通过文件包含漏洞,可以读取系统中的敏感文件,源代码文件等,如密码文件,通过对密码文件进行暴力破解。若破解成功则可获取操作系统的用户账户,甚至可通过开放的远程连接服务进行连接控制。另外不管是本地文件包含还是远程文件包含,文件包含漏洞还可能导致执行任意代码。

  • WVS 扫描:

WVS(Web Vulnerability Scanner)是一个自动化的 Web 应用程序安全测试工具,它可以扫描任何可通过 Web 浏览器访问的和遵循 HTTP/HTTPS 规则的 Web 站点和 Web 应用程序。

WVS 可以通过检查 SQL·注入攻击漏洞、跨站脚本攻击漏洞等来审核你的 Web 应用程序。

它可以扫描任何可通过 Web 浏览器访问的和遵循 HTTP/HTTPS 规则的 Web 站点和 Web 应用程序。

除了自动化地扫描可以利用的漏洞,WVS 还提供了分析现有通用产品和客户定制产品(包括那些依赖于 JavaScript 的程序即 AJAX 应用程序)的一个强健的解决方案。

比较特殊的就是这个「WVS 扫描」了,明明是个安全扫描应用,频繁的扫描请求也成为了一种攻击类型了,囧。

「运维日记」26 号被攻击的记录和分析「运维日记」26 号被攻击的记录和分析

「运维日记」26 号被攻击的记录和分析

从这次的攻击目标上来看,基本上是“浑水摸鱼”式试探性攻击,针对 Windows 服务器的手段倒是用了不少,都是些常见类型的攻击,应该是借助第三方工具实现的。

「运维日记」26 号被攻击的记录和分析

今天说到的这些攻击类型,其实服务器自己的 WAF 都可以进行防范的,但是仅仅依靠 WAF 是不够的,明月建议如果碰到此类攻击,还是要多种手段相结合来应对的,首先在 CDN 层面进行第一波攻击的防御措施,开启 CDN 的 WAF、CC 防护等等,其次在 Web 服务器层面进行拦截屏蔽,可参考【Nginx 防止 SQL 注入、XSS 攻击的实践配置方法』一文(实测效果很显著),这个层面的拦截屏蔽会大幅减小服务器承受的负载压力,特别是返回错误代码 444 的情况下。最后服务器的防火墙、WAF 相互结合拦截恶意请求和屏蔽 IP 并举。经过上述三种方式一般也就阻挡这种攻击了,除非对方穷凶极恶采取 CC/DDos 攻击,一般的 VPS 都可以阻挡下来的。

历史文章推荐:

  • 本博客公众号
  • 扫一扫关注!
  • weinxin
  • 本博客小程序
  • 微信内浏览本博客
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:30   其中:访客  15   博主  15

    • xahy xahy 1

      文章的攻击行为统计是什么程序给出的呢?这么详细

      • Lenbs Lenbs 2

        之前@域名没加CDN的时候每天总有几个攻击,加上CDN后几乎就没有了

        • nice nice 4

          我只能说羡慕 :mrgreen:

          • 弥雅尔尔 弥雅尔尔 6

            被攻击了那是不是说明明月登楼博客有一定名气咯!

            • 默认主题就挺好 默认主题就挺好 5

              是,网站做久了机会天天被骚扰

              我也想不通,这帮人为什么连个博客都不放过

              • 404 NotFound 404 NotFound 2

                请问一下明月大佬,我自己整两个博客,一个typecho,一个WordPress,但是发表的文章内容都一样,这个会对收录有什么不利影响吗?会不会百度认为是一个抄袭另一个的文章而不收录之类的呢?

                • boke112导航 boke112导航 9

                  真想不明白攻击的人,有这么能力和时间去搞攻击,还不如花时间去做更有意义的事情

                  • 中意眼镜 中意眼镜 5

                    这是遇到小学生练手了?说实话搞这些攻击真没啥意义

                      • 明月登楼 明月登楼 Admin

                        @中意眼镜 呵呵,要是“练手”倒是可以理解的!就怕是碰到“手贱”的,那才叫烦人呢!

                      • 杨景文 杨景文 1

                        大佬现在用的哪家CDN? 我昨天改用腾讯云CDN了,到腾讯云不提供任何防护。

                          • 明月登楼 明月登楼 Admin

                            @杨景文 我用又拍云和上海云盾、360网站卫士三个相互结合使用的!

                              • 杨景文 杨景文 1

                                @明月登楼 我调整了下,国内走 腾讯云,国外走 cloudflare,过几天再重新改用 cname 接入 360网站卫士,以防万一。
                                意外发现,你的 裸域名 @ 没有解析。

                                  • 明月登楼 明月登楼 Admin

                                    @杨景文 嗯,解析没有用,我又不用不上,所以就取消解析了都!

                                • 青山 青山 5

                                  @杨景文 你也被人攻击了?