网站被SQL注入防范(WebKnight)

所属分类: 网络安全 / 脚本攻防 阅读数: 1698
收藏 0 赞 0 分享
网站被“成功”注入,网站一些页面被插入了下载病毒的代码,经查:
生产服务器的代码没有任何被改动过的迹象,排除服务器被入侵,代码被篡改的可能;
有病毒下载代码的部分,在数据库里真实看到了篡改迹象,可以排除ARP欺骗的可能;
同上,能确定网站被SQL注入攻击了,因为数据库被篡改了。
由于是被攻击后马上发现的现象,可以判断攻击此刻应该正在继续(后来检查的结果证明的确是这样),如何能尽快阻止攻击呢?我有2个思路(如果各位有更好的思路,期待您的指点):
马上找到含有SQL注入漏洞的程序,修复之;
马上增加一个应用程序防火墙(Application Firewall),从HTTP请求时就阻断攻击。
第一个思路几乎是不可能马上完成的任务,第二个思路还可行,因为前段时间上海天存信息技术有限公司曾提供给我们试用iWall应用防火墙(正式产品是收费的),还记得当时一位朋友提供给我的开源应用程序防火墙WebKnight,我信赖开源,所以我选择了后者。
如何在IIS6中安装WebKnight?
我们的 WebServer 是 IIS6,所以这里只介绍IIS6的安装,我见有些帖子介绍WebKnight的安装时,说只有把IIS调整成IIS5.0隔离模式(IIS5.0 isolation mode)才可以,但实际上WebKnight的官方网站有介绍不需要此操作即可安装的办法,但这需要放弃WebKnight的全局配置特性,相比放弃IIS6.0,我更愿意放弃WebKnight的这个特性:
首先下载一份WebKnight,下载地址:http://aqtronix.com/?PageID=99#Download(注,这不是直接下载地址,点开后需要再点击WebKnight 2.2 (Release date: 2008.09.02),以防更新后各位朋友还下载旧的版本)
解压后有2个目录Setup、Source,其中Source是源码,我们这里只需要安装,进入Setup
进入Setup后还有2个目录:w32代表32位;x64代表64位;按照您服务器的操作系统来选择即可,我这里选x64(由于WebKnight的32位、64位文件结构完全相同,所以下面的内容完全适用与32位操作系统)
确保自己的每一个网站都运行在独立的应用程序池中;
在WebKnight的配置程序中
取消选择“Global Filter Capabilities”下的“Is Installed As Global Filter”
选择“Logging”下的“Per Process Logging”,这样每一个应用程序池的实例都会加载一个单独的WebKnight实例
确保Windows用户NETWORK SERVICE(或您设定的应用程序池的其他用户)有WebKnight文件夹的修改权限
拷贝第3步中x64文件夹中的所有文件到服务器上(如:F:\WebKnight\WebSite1\),注意:每一个网站均需要一个独立完整的WebKnight,不可共用
打开IIS Manager
在需要安装WebKnight的网站上点击右键 > 属性 > ISAPI filters
点击添加 > Filter Name随意,如(WebKnight),Excutable选择WebKnight目录下的WebKnight.dll(注意:要选网站所属的WebKnight目录,不要选错)
点击确定,完成安装
点击WebKnight目录中的Config.exe,具体配置方法见下一节,配置完成后再进行下一步,切记
在以上操作后,重新启动IIS(重启IIS其实可以避免,只需将配置WebKnight的网站的应用程序池停止再启动即可)


如何配置WebKnight
声明:由于WebKnight的配置很多,这里我只写一下推荐配置,个人观点,仅供参考,如果更好的建议,期待您的分享
在WebKnight目录中(如:F:\WebKnight\WebSite1\),双击Config.exe开始配置,在弹出的Open Configuration对话框中,选择WebKnight.xml
Scanning Engine 扫描引擎
无需更改默认配置
Incident Response Handling 已发生攻击的处理
如果您希望有人攻击时看到的页面是WebKnight目录中的denied.htm,选择Response Directly即可;
如果您希望有人攻击时看到的页面是您网站下的某个文件(如:http://www.xxx.com/Error/Denied.htm),选择Response Redirect,并在下面的Response Redirect URL中填写您网站下文件的路径(如:/Error/Denied.htm)
如果您只希望记录攻击,但不希望中断用户的访问,您可以选择Response Log Only
Logging 日志
如果日志量特别大,请取消选择Enabled,否则很有可能磁盘可用空间不知不觉就没有了,还有可能有比较严重的磁盘I/O性能问题
日志默认是存储在WebKnight目录下的LogFiles文件夹中,如果您想改变该路径,可以修改Log Directory的值
WebKnight每天的日志是由不同文件存储的,默认保存28天的数据,您可以在Log Retention中修改该值
Connection 连接
无需更改默认配置
Authentication 安全认证
无需更改默认配置
Request Limits 请求限制
取消选择Limit Content Length(Content-Length是header中的一个值,代表所请求元素的尺寸),我个人觉得这项没有必要选择,因为元素尺寸有可能很大
取消选择Limit URL(即限制URL的长度),原因同上,URL也可能很长
取消选择Limit Query String(即查询字符串的长度),原因同上,查询字符串也可能很长
取消选择Limit HTTP Version(即HTTP版本),我感觉没有必要限制HTTP版本,有可能会造成使用过旧版本浏览器的用户无法访问自己的网站
取消选择Use Max Headers(即限制Headers中各项的最大长度)。我一开始是选择了该项的,但在我的实践中,由于我们用了网站流量统计、广告合作代码等,导致Headers中的一些项超长,阻止了相当多的正常请求,所以我想干脆一劳永逸,取消选择了该项
URL Scanning 网址扫描
取消选择RFC Compliant URL、RFC Compliant HTTP Url、Deny Url HighBitShellCode,勾选了这三项,很多不太标准的URL格式就会无法访问,比如包含中文的URL
取消选择Deny URL Backslash,因为我们网站中,“\”在URL里面也会用到
在URL Denied Sequences中,描述了拒绝请求的一些URL字符串,如果其中有您网站中正在使用的,可以删除,方法是选中要删除的项目,右键,点击Remove Selected
Mapped Path 映射目录
Use Allowed Paths,这项保持勾选,因为这项可以限制Web程序可以访问的服务器上的物理路径,我们需要做的只是在下面的Allowed Paths中添加上我们自己的网站物理路径,比如F:\WebSite1,添加方法是在任意项上点击右键 > Insert Item > 输入物理路径后,回车即可
Requested File 被请求的文件
在Denied Files(拒绝请求的文件)中,去掉网站允许请求的文件,如:log.htm、logfiles
在Denied Extensions(拒绝请求的后缀名)中,去掉网站循序请求的后缀名,如:shtm
Robots 蜘蛛程序
无需更改默认配置
Headers 头信息
Server Header中,可以修改Header中的Server字段的值,我觉得这个也可以改改,挺好玩的
为了防止组织合法的请求,取消勾选RFC Compliant Host Header、Use Denied Headers
ContentType 内容类型
取消选择Use Allowed Content Types,若选中,则无法上传文件
Cookie 这个就不需要翻译成中文了吧:)
无需更改默认配置
User Agent 用户代理/客户端
取消勾选Deny User Agent Empty、Deny User Agent Non RFC,否则有部分合法访问会被拒绝
Referrer 访问来路
取消选择Use Referrer Scanning,因为我觉得一个访问的来路可能不会有太严重的安全问题,还是为了尽量让合法的请求通过,我选择取消勾选该项
Methods HTTP请求方法
无需更改默认配置
Querystring 查询字符串
无需更改默认配置
Global Filter Capabilities 全局过滤功能
取消勾选Is Installed As Global Filter,切记,该项一定要取消选择,否则WebKnight不能正产工作
SQL Injection SQL 注入
无需更改默认配置
Web Applications Web应用程序
勾选Allow File Uploads,否则上传文件的功能会失效
勾选Allow Unicode
勾选Allow ASP NET
如果您的网站需要支持ASP,勾选Allow ASP
同理,您的网站需要支持什么,请您自己选择需要勾选的项
修改后,记得通过菜单栏File > Save 来保存配置(或通过快捷键Ctrl+S),保存配置后,就可以重启IIS或应用程序池来启用WebKnight了
提示:您可以通过查看WebKnight的日志,来查看哪些合法请求被阻止了,然后修改相应的配置
更多精彩内容其他人还在看

一句话木马后门在防注入中的重生

对于目前流行的sql注入,程序员在编写程序时,都普遍的加入防注入程序,有些防注入程序只要在我们提交一些非法的参数后,就会自动的记录下你的IP地址,提交的非法参数和动作等,同时也把非法提交的数据写入了系统的后缀为ASP的文件中,这也给了我们一些可利用的地方
收藏 0 赞 0 分享

ASP+PHP 标准sql注入语句(完整版)

这里为大家分享一下sql注入的一些语句,很多情况下由于程序员的安全意识薄弱或基本功不足就容易导致sql注入安全问题,建议大家多看一下网上的安全文章,最好的防范就是先学会攻击
收藏 0 赞 0 分享

SQL注入黑客防线网站实例分析

这篇文章主要介绍了SQL注入黑客防线网站实例分析,需要的朋友可以参考下
收藏 0 赞 0 分享

Linux 下多种编程语言的反弹 shell 方法

这篇文章主要介绍了Linux 下多种反弹 shell 方法,需要的朋友可以参考下
收藏 0 赞 0 分享

thinkphp代码执行getshell的漏洞解决

本文来介绍一下thinkphp官方修复的一个getshell漏洞,框架对控制器没有进行足够的检测导致的一处getshell,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
收藏 0 赞 0 分享

XSS攻击常识及常用脚本

XSS 攻击常用脚本,大家可以了解xss攻击的一些知识做好网站安全防范。
收藏 0 赞 0 分享

XSS攻击汇总 做网站安全的朋友需要注意下

貌似关于xss的资料t00ls比较少,看见好东西Copy过来,不知道有木有童鞋需要Mark的
收藏 0 赞 0 分享

PHP一句话Webshell变形总结

大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形
收藏 0 赞 0 分享

phpddos流量攻击预防方法

先来理解一下什么是phpddos流量攻击,phpddos是一种黑客经过入侵WEB效劳器植入phpshell从而控制这个phpshell 向其他受害者或本人的效劳器发送UDP攻击包停止DDOS攻击
收藏 0 赞 0 分享

SQL注入攻防入门详解 [图文并茂] 附示例下载

毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见
收藏 0 赞 0 分享
查看更多