常見網(wǎng)站攻擊及應對方法

摘 要：隨著計算機技術的普及和發(fā)展，越來越多的人使用著互聯(lián)網(wǎng)，越來越多的應用被放置在互聯(lián)網(wǎng)之上，人們在享受著它帶來的方便快捷的同時，越來越多的網(wǎng)絡安全問題也隨之而來。本文重點對常見網(wǎng)站攻擊及應對方法進行了分析論述。

關鍵詞：網(wǎng)絡安全漏洞 DDOS木馬 SQL注入 Webshell

計算機系統(tǒng)中的漏洞已經(jīng)越來越引起人們的重視，而針對這些漏洞的攻防技術始終在不斷的變化中。漏洞是指任意地允許非法用戶未經(jīng)授權獲得訪問或提高其訪問權限的硬件或軟件特征。學校的網(wǎng)站由于分支較多，因此漏洞存在的可能性也較大。為此，筆者在此探討常見網(wǎng)站攻擊及應對方法。

一、網(wǎng)絡攻擊的分類

就網(wǎng)站而言，網(wǎng)絡攻擊分為四類。

一是對網(wǎng)站進行分布式拒絕服務攻擊DDOS。通常，攻擊者在幾秒鐘內激活成百上千次訪問服務器的程序。同一時間大量的服務請求會占用過多的服務資源，從而使合法用戶無法得到服務的響應。

應對DOS攻擊，一般可以采取以下措施：加大服務器的響應能力、關閉不必要的服務、限制同時打開的Syn半連接數(shù)目、縮短Syn半連接的time out時間、及時更新系統(tǒng)補丁。

二是攻擊者對服務器植入木馬，是服務器成為DDOS的“肉雞”，用來攻擊其他服務器。一般來說，相對于個人電腦，服務器的安全設置比較嚴密，服務比較單一，不容易被作為“肉雞”使用，但也不排除這種可能性。

三是獲得網(wǎng)站管理員用戶名及密碼。獲得管理員賬戶和密碼之后，整個網(wǎng)站就在攻擊者的控制之中了。攻擊者控制了信息的發(fā)布和修改權，對網(wǎng)站數(shù)據(jù)構成威脅。

四是通過系統(tǒng)漏洞獲取服務器主機控制權限。通過修改網(wǎng)站上傳文件類型的限制，將木馬上傳至web服務器，從而進一步獲取服務器主機的控制權限，并以此為跳板威脅整個內部網(wǎng)絡的安全。攻擊者還可以利用系統(tǒng)漏洞塞入木馬，對主機進行控制。

筆者在工作中，發(fā)現(xiàn)網(wǎng)站數(shù)次被上傳了后門文件，并在留言板貼出管理員用戶名和密碼，但大多不正確，未引起實質性損失。也有更嚴重的情況是服務器密碼被修改，這是致命的安全問題。

二、網(wǎng)絡攻擊順序與防范的方法

通過分析攻擊者上傳的文件和數(shù)據(jù)庫，筆者認為攻擊者入侵的順序有以下方法。

1.SQL注入

攻擊者尋找網(wǎng)站代碼的漏洞，通過SQL注入獲取數(shù)據(jù)庫中的信息，找到網(wǎng)站的用戶名和密碼。在網(wǎng)頁的鏈接上加入查詢語句，通過查看iis返回的錯誤信息猜測數(shù)據(jù)庫結構信息。比如當入侵者猜到網(wǎng)站管理員的賬號存在表admin中，管理員賬號名為manager，他想知道m(xù)anager的密碼，那他可以從瀏覽器的地址欄輸入網(wǎng)址：http：//localhost/shownews.asp？ID=555 and （一段sql代碼），這段代碼可以是（Select xxxx from yyyy where zzzz='manager'）>0，xxxx代表字段名，yyyy代表管理員表名，zzzz代表猜測的管理員用戶名。瀏覽器返回的錯誤信息中將 varchar 值 'xxxxxxmanager' 轉換為數(shù)據(jù)類型為 int 的列時會出現(xiàn)錯誤，里面會包含管理員manager的密碼。使用SQL注入入侵工具，如NBSI 2.0能夠更快地注入。防范的方法有兩點。

第一點，使用代碼檢驗。我們可以寫一段對訪問者通過瀏覽器提交過來的變量參數(shù)進行檢驗的代碼，如SQL注入，必須要有SQL語言常用的關鍵字。比如，在查詢select、插入insert、更新update等常用于SQL注入的字符時，立即停止執(zhí)行ASP程序，這意味著可能正在遭受攻擊，所以應當立刻轉向出錯頁面或者給出警告信息。

第二點，屏蔽IIS錯誤提示信息。入侵者通過SQL注入入侵往往是根據(jù)IIS給出的ASP錯誤提示來判斷數(shù)據(jù)庫有什么表、表是什么結構的。例如剛才所說的，如果我們把IIS設置成所有錯誤都不提示詳細信息，只提示一種錯誤，那對于入侵者來說就是一件很頭疼的事。這就好像“他”在問一個人，問了半天，回答只有 “不知道”。

2.獲得Webshell

Webshell是web入侵的一種腳本攻擊工具。簡單來說，Webshell就是一個asp、php或jsp木馬后門。Webshell最大的優(yōu)點就是可以穿越防火墻，由于與被控制的服務器或遠程主機交換的數(shù)據(jù)都是通過80端口傳遞的，因此不會被防火墻攔截。當獲得Webshell之后，再使用命令行創(chuàng)建用戶并提升權限。

利用netcat（nc）把cmd.exe綁定，然后使用net user命令進行提權，通過緩沖區(qū)溢出漏洞直接獲得Cmdshell或者系統(tǒng)權限。比如說IIS寫權限漏洞，可以匿名訪問IIS，并且寫入ASP木馬，獲得Webshell。比如說Webdav溢出，先用nc監(jiān)聽本地端口，再去溢出對方端口，獲得一個Cmdshell，然后通過管理命令獲得遠程控制權限。

網(wǎng)站系統(tǒng)管理員首先應做到以下幾點。

第一點，嚴格控制fso，設置好web服務器目錄的權限，讓能寫入的目錄不能運行，能運行的不能寫入。

第二點，對個別組件進行設置。ASP Webshell需要使用的一些組件，現(xiàn)在看來，比較有威脅的組件是Wscript.Shell和Shell.Application這兩個組件。這兩個組件是系統(tǒng)自帶的，我們可以通過修改注冊表，將此組件改名。一旦改名，入侵者就無法知道怎樣調用這兩個組件了。通過Wscript.Shell組件可以修改注冊表，也可以執(zhí)行DOS命令。而Shell.Application組件不但可以對文件進行一些操作，而且還可以執(zhí)行程序，但卻不能帶任何參數(shù)。我們可以在注冊表中把它改成我們習慣的名字，自己以后調用的時候使用自己改的新名字就可以了。

第三點，對提權常用到的cmd.exe進行改名。這樣入侵者不知道名字就無法調用了。cmd.exe是系統(tǒng)自帶的文件，需要在Windows文件保護中將文件保護掃描關閉后再改。

總之，網(wǎng)絡安全漏洞層出不窮，作為管理員應該研究應對網(wǎng)絡攻擊的方式方法，并且想出應對方案。另外，我們還要防范自己的網(wǎng)站被掛馬成為攻擊其他網(wǎng)站的工具，這是個社會工程，需要廣大管理員共同努力。

參考文獻：

[1]科教工作室.黑客攻防實戰(zhàn)必備[M].北京：清華大學出版社，2012.

[2]肖松嶺.網(wǎng)絡安全技術內幕[M].北京：科學出版社，2008.

[3][美]Eric Cole.網(wǎng)絡安全寶典[M].北京：清華大學出版社，2010.

（作者單位：青島市技師學院）