首页 > 科技 > 业界 > 正文

网站安全分析:恶意DOS脚本日志分析报告
2012-08-21 11:03:49   来源:Chinaz   评论:0 点击:

  站长之家(chinaz.com)8月20日消息:站长之家从日志宝安全团队获悉,近期据日志宝分析数据统计,恶意DOS脚本攻击行为所占比例呈上升趋势,许多网站出现因被植入恶意DOS脚本,导致网站服务器被IDC封停的情况。
  
  针对此类攻击行为,日志宝安全团队今日发布了《恶意DOS脚本日志分析报告》:
  
  针对网站来说,前期症状主要表现在:
  
  1.服务器资源占用比例较正常状态有明显增长
  
  2.网站日志文件大小较正常日期明显增大
  
  3.流量带宽消耗以及使用率较正常日期有大幅度增长,甚至超限(导致服务器流量耗尽或者带宽使用率过大被IDC关闭或限制服务器访问)
  
  针对以上问题,通过使用日志宝对网站日志进行安全分析后发现,日志文件中存在大量类似以下访问请求:
  
  199.36.74.138--[29/Jul/2012:00:48:00+0800]“GET/include/diy.php?host=76.10.221.209&port=6005&time=60HTTP/1.1”2001371
  
  某IP以分钟为单位持续请求某脚本文件(本例中是diy.php),产生大量的访问请求,日志宝安全团队在与客户取得联系后得到该脚本的源代码如下:
  
  
  
  恶意DOS脚本站长之家配图
  
  该脚本使用了GET方式获取host,port和time三个参数,并且定义了发送的数据包大小为65535,最终构造的数据包为65535个“A”,然后通过调用fsockopen函数:fsockopen(“udp://$host”,$port,$errno,$errstr,5);,采用UDP协议发送恶意数据包到目标网站的目标端口,以网站服务器为源头发起DOS攻击,消耗大量网站流量,占用网络带宽,最终导致网站无法正常访问。
  
  经测试以上恶意脚本每分钟发送的恶意数据包平均能达到40W次以上,对网站正常服务的杀伤力很大。
  
  我们随后对遭受恶意DOS脚本攻击的网站应用进行了统计,大部分网站使用的是dedecms以及phpcms作为网站应用。再次提醒各位站长请关注官方网站的安全更新,及时安装相应的安全补丁。
  
  PHPCMSV9最新安全补丁:http://bbs.phpcms.cn/thread-621649-1-1.html
  
  DEDECMS最新安全补丁:http://bbs.dedecms.com/484439.html
  
  另据日志宝CEO董方(weibo.com/vindong)透露,此类攻击方式类似于前几年比较盛行的masssqlinjection攻击。即通过一个已知web应用的安全漏洞(比如SQL注入),结合搜索引擎,就可以发现大批存在该漏洞的网站,从而实现全自动的攻击流程:
  
  ①发现web应用漏洞
  
  ②搜索引擎寻找漏洞网站群(使用该web应用的网站)
  
  ③结合爬虫批量攻击所有网站
  
  ④批量上传恶意文件
  
  ⑤批量发起DOS攻击
  
  ⑥黑客主控端监控并维护被入侵网站列表
  
  黑客通过以上步骤能够轻松实现有目的、批量、智能化的大范围恶意攻击。
  
  日志宝安全团队提出了针对恶意DOS脚本攻击的解决方案:
  
  1.检查网站所有文件是否出现恶意fsockopen函数调用,或者以“udp://”为关键字grep检查网站所有文件,查看是否被植入恶意DOS脚本。
  
  2.修改php.ini,设置disable_function:fsockopen,禁用fsockopen函数。
  
  3.安装开源网站应用的最新安全补丁。
  
  4.使用日志宝定期分析网站日志,能够有效的发现针对网站的恶意攻击行为。
  
  注明:本安全报告来自日志宝,官方网站www.rizhibao.com.
   

相关热词搜索:网站安全分析 恶意DOS脚本

上一篇:沪电信劫持电商:直接访问时通过返利网跳转
下一篇:再探Facebook数据中心

分享到: 收藏
评论排行