一个奇怪的问题,访问ASP页面过快就会被服务器自动封IP

发布网友 发布时间：2022-05-08 21:35

我来回答

共3个回答

热心网友 时间：2023-11-03 22:13

谈谈服务器被ARP攻击 所有网站被挂上ifram网页木马
给某个网站挂木马是个老调重提的问题，归根结底是：安全防护意识不够严密。
06年，曾经协同管理过一台服务器，服务器的安全配置十分松懈，所在看来，基本没做什么安全配置，也就是改了改管理员密码，禁用了GUEST帐号。。。。甚至有些分区是FAT32。结果十分的惨列，服务器上的门户被拿下，劳苦奔波（服务器在异地），起早贪黑重安装操作系统，最后，网站被人全部拿走挂在网上出售。现在想想，仍然十分痛心。
原归正转，06年服务器上经常被挂网页木马，经常被拿webshell，主要是这几种：
网页安插Iframe代码 2、JS Script代码 3、加密的代码几种。
这三种方法只要找到一个页面有漏洞，就可能给网站全部加入上述3种形式的“木马网页代码的地址”。如果权限没有合理配置，还有可能“跨站”攻击，甚至服务器操作系统的小命都不保。
上述三种挂马方式的步骤无非是：先扫描 - 找注入点（一般是ASP）站点 --上传小型木马（利用网站备份数据库功能、网站代码不严谨，对FSO使用权限控制不严格）---上传大型木马（基于WEBShell Wscript FSO等 编程实现的网站、网页检测管理系统，如海洋木马、控制能力非常强），至此，该站就已经OVER了。
07年年末攻击另一种手段开始在局域网，机房泛滥：
ARP攻击
属于那种杀人于无形的。非常讨厌的一点是，让被攻击者心惊肉跳的进行服务器检查工作，不过，此招对于经验丰富的网络管理员不算什么，必竟给网页代码安插木马地址，让客户机中毒的下三滥手段不会是什么“高人”。
举个今天发生的事列，典型的ARP攻击。
运行情况：
服务器的安防配置较为严谨，管理也非常严格。
运行一年多（除省网路由出问题外）没什么问题。
补丁自动安装，它自已按需要重启
访问量中等、定期进行检测、备份数据
就在今日，突然不能访问了。
症状：两台服务器同时不能访问（在同一IP段）所有的网站的网页打不开，或者是打开的是天书一样的乱码、或者是“弹出对话框〔该文件无法下载〕”......让外地的朋友、本地的朋友打开测试，有的说能打开，但有毒；有的说打不开。云云.....心里发紧啊！
排查步骤：
1、远程连接（全部顺利）
2、因为所有站点打不开，所以,选了一个ASP和一个PHP网站进行代码检查，没有发现改动（代码没有更改、日期属性没变化）
3、检查FTP服务器 查看日志 查看连接记录 对比文件MD5 帐号（全部正常）
4、检查系统日志 应用程序日志 登录日志 除有少数ZEND报错外 （其它正常）
5、检查系统帐户 检查关键位置的文件 检查各站点的权限（因为网站较少）（正常）
6、Netstat-an 长时间检查观察端口连接情况 （没发现异常）
7、服务器上打开所有站点均正常 两台服务器互相访问正常
8、更换网络环境进行访问 A公司电信局域网 B另一处网通局域网 C家里 D网吧 （ABD打不开 C可以打开，但网页第一行代码有IFRAM代码），同时还发现一个奇特的现象，Mail服务器的WEB端口号是“非80端口，非IIS服务，邮局系统的网页正常打开，而且没有异常 ：） 有戏了。
9、开始有点闷。
说实在的，马上就要过年了，加上这段时间有些任务压的很紧，谁都想把活干完舒服的过一个年。火车票还没买呢～～～唉。现在不是添乱吗。
分析一下情况吧：
·好象服务器没有被人拿到Webshell，也没有从其它程序提权，以目前的“大众黑客”的水平，不至于搞出什么花样吧，难道得罪了高手？
·听说过“IIS挂马”一说，就是利用IIS的配置文件和IIS的筛选器（加载修改的DLL文件）做手脚的，对本了一下本地的系统文件大小和MD5和检查了配置文件，没发现什么不对。
·既然两台同一网段内的服务器互相访问网站没有问题，两台服务器自己访问自己的网站也没有问题；但在家里打开时和在公司打开却出现了奇怪的现象，只能怀疑网页在网络传输中做了手脚（干，网络大了去了 我哪有功夫去查经过了多少网关路由 哪个环节出了问题 再说人家也不让我查啊）
·要是说本地网络中了恶意软件或者ARP？？？不会吧，这么多地方同一时间都出问题，所以不可能。那说明我的运气也差的可以了。
说起ARP，突然想起两件事：
1、公司所在大厦的局域网掉线
2、访问任何网页，病毒防火墙都提示有病毒，（百度、GOOGLE、163、SINA。。。。。都一起中毒了，呵呵）

引用内容
07年夏天，大厦的网络非常差，不是慢，是经常无规律的掉线，后来我把公司局域网的路由器换成了一台计算机（上双网卡）域局网服务器，安上流量分析软件、安了个ARP防火墙，果不其然，我们子网内的其它公司，有个IP一直发送ARP攻击包伪造网关IP地址。
机房也是个特殊的局域网，所以不能排除某些管理员把生了虫的服务器当乖宝宝养着。
开始动手尝试解决
本地先测试软件是否和操作系统冲突，是否蓝屏，是否报错，是否断网，当然包括是否有后门和病毒。这些都做好后，没有问题了再往服务器上安装，拿一台服务器做试验田了，找个ARP防火墙装上，重新启动服务器。
重新启动后，远程结果如下图:
图一：某台害群之马
图二：攻击数据量
防御成功！
再打开网页，OK，全部的ifram代码消失了。
结束语：
虽然浪费了几个小时的时间去处理这件事，但收获还是不小的，拿出来大家分享一下。由于这个
软件是试用版的，所以为了服务器以后不受此类干扰，还在这方面投入一下精力做一下安全。
稍候会转贴一些服务器上安装“服务器版ARP防火墙”的内容，其它朋友写的较详细了这里就不做赘述了。
另外，奉劝哪些正在做“大众黑客”和损人利已的攻击者们，适可而止。网络已经不是曾经的“假面舞会”。

热心网友 时间：2023-11-03 22:14

是你的问题，访问页面不要太快，这个是服务器设置的 防止恶意刷机的

热心网友 时间：2023-11-03 22:14

是那网站数据库里面保存了你的IP吧