问题描述
学校本系里面自行搭建了几台服务器。其中一台作为BBS论坛服务器被人盯上,周末访问的时候发现一片空白。排查原因:1、查看日志,有看见几条类似如下的输入:http://192.168.5.120/admin/login.php?code=%27%20union%20select%201,2,Password%20from%20liveuser_users%20where%20Id=%271%23='unionselect1,2,Passwordfromliveuser_userswhereId='1#2、查找资料,判断是SQL注入。论坛数据库被删除。解决方法:1、论坛程序是一年多前的旧程序,趁这次机会升级到最新版本,并且打上最新补丁。2、修改管理员账号。3、上网搜索,国外开源网站下载了一款免费Web应用防火墙freewaf(下载地址:sourceforge.net/projects/wafw/files/1.0.0/bin/),号称能防御常见的网络攻击。--在防火墙的安全策略中,打开常见的攻击类型防御(默认都打开了,不用修改)。--因为服务器都放在本系实验机房内,平常网管登陆都本机登陆,所以在防火墙安全策略中打开“关键字过滤配置”把管理员用户名加入“关键字”。这样就禁止了远程通过管理员账号登陆服务器的危险。当然对于日常维护也带来麻烦,需要跑实验机房才可以维护。处理结果:把备份的数据库导入,重新启用BBS论坛。除了最新未备份的内容外,其他没有影响。经过72小时运行,在防火墙的网管里有几百条的攻击日志,论坛工作正常没被攻陷。网站又恢复正常了。总结:1、可以先断开服务器避免进一步攻击;2、除了恢复服务器运行,分析攻击的原因更重要,避免被重复攻击;3、日常维护按时更新程序和补丁,避免已知漏洞被攻击;4、日常备份数据很重要;5、部署Web防火墙能防御常见的网络攻击。使用过程中freewaf网管界面挺不错的,常见的功能也都有,最主要是免费的啊。不过freewaf网管页面对IE6.0的兼容性不好,要用IE8.0以上才能正常显示。一般小网站高手也不会随意攻击的,所以被黑客攻击时候大家不用慌张,只要做好常见的工作就能防御住大部分攻击。