文件源码攻击防护
发布时间:2012-07-23   作者:

1.现象描述

 

如果同一源IP地址短时间内产生了大量的CGI访问事件使用恶意的参数提交访问,造成可能的信息泄漏、拒绝服务等危害产生,则表明源IP地址可能存在安全扫描行为;
如果某源IP地址对网络进行安全扫描的行为是授权的,可以判定该事件不存在安全威胁,除扫描外网管工具也可产生类似效果,但是,如果存在此类扫描而且未经搜全,那么该行为被认为存在安全威胁。

 

2.攻击成因

 

采用形式

 

攻击者会试图访问IIS的文件来攻击目的IP地址主机,通过提交恶意参数访问,造成信息泄漏和产生拒绝服务等危害。

 

攻击办法

 

攻击者利用微软的Index Server的Webhits.dll漏洞可以读取系统源码或其它系统文件内容。受到此漏洞影响包含敏感信息,用户ID,密码、数据源等信息的ASP页面源代码或关键文件会被攻击者非法获取并取得机密信息。

  

3.解决办法

 

事件发现:

 

通过对Web站点服务器访问日志和安全日志查询,以及,防火墙安全和访问日志,查询是否存在非法源IP针对微软Indexer漏洞所作的获取信息操作,确定是否有攻击事件发生;

 

处理办法:

 

检查Web站点对应服务器是否存在Webhits.dll漏洞和有无对应系统补丁;

 

针对非法攻击源,在防火墙上配置安全访问规则,过滤针对源IP地址访问报文;

 

使用Web应用安全防护工具或产品,针对该漏洞对应的CVE事件进行安全防护。

文章来源:
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号