TearSnow FanS


近段时间服务器入侵检测报告

自8月2日至今日8月19日,百算服务器共遭受DDOS,SQL注入,CC,恶意的端口扫描等攻击,网页挂马等攻击,后因安装了部署了安全策略,被攻击的次数和力度明显下降。一切的攻击行为均被牢固的安全措施所防御,服务器运行稳如磐石,入侵检测系统记录下这一切。我们保留一切追究法律责任的权利。

 

 

 

DDOS攻击

北京市(南三环洋桥电信机房) 电信

2013-08-06 18:14:18;220.181.158.*;49;检测到Tcp端口扫描攻击;防御成功

山东省德州市 电信

Ip对应的是德州市第七中学,目测是用代理攻击的吧,网站是asp+access,有注入点。目测已经被入侵,获得了webshell吧

2013-08-07 17:13:29;58.56.*.110;8080;检测到Syn Flood攻击;防御成功

四川省成都市 电信

该ip地址的8080端口是中国电信生产辅助支撑系统

2013-08-08 03:43:49;125.69.71.*;3306;检测到Syn Flood攻击;防御成功

北京市 北京奇虎科技有限公司电信节点

2013-08-10 11:49:09;220.181.158.*;9418;检测到Tcp端口扫描攻击;防御成功

广西防城港市 电信

该ip对应的是防城港科技信息网

2013-08-12 00:48:17;219.159.184.*;3306;检测到Syn Flood攻击;防御成功

2013-08-14 21:15:55;219.159.184.*;3306;检测到Syn Flood攻击;防御成功

2013-08-18 23:22:12;219.159.184.*;3306;检测到Syn Flood攻击;防御成功

安全高于一切,宁可错杀一百,不可漏杀一个,以上结果不排除误报的可能性。

SQL 注入

曾经尝试注入的ip地址

原始数据

参考数据一

218.29.254.*

河南省漯河市 人民东路召陵区人民医院门面房阳光科技网吧

125.254.52.*

香港

220.181.158.*

北京市 北京奇虎科技有限公司电信节点

218.5.72.*

福建省厦门市 电信ADSL

220.181.55.*

北京市 北京奇志浩天科技有限公司电信节点

123.125.160.*

北京市 联通ADSL

115.200.213.*

浙江省杭州市 电信

182.118.33.*

河南省郑州市 联通

220.181.55.*

北京市 北京奇志浩天科技有限公司电信节点

220.181.55.*

北京市 北京奇志浩天科技有限公司电信节点

123.125.160.*

北京市 联通ADSL

182.118.33.*

河南省郑州市 联通

220.181.55.*

北京市 北京奇志浩天科技有限公司电信节点

220.181.55.*

北京市 北京奇志浩天科技有限公司电信节点

60.176.42.*

浙江省杭州市 杭州电子科技大学

221.4.0.*

广东省广州市 联通

上述ip若是善意的检测我们的SQL的安全性,那么我们感谢!! 但是不乏臭名昭著的ip地址,甚至有人想用struct2的漏洞来攻击我们,我们是PHP的脚本好吧……有点智商行不?! 甚至想用文件包含的,但是却包含asp文件…… 不要用工具,用智商,好么!
 

 

下面小小的科普一下

DDoS又称为分布式拒绝服务,全称是Distributed Denial of Service。
DDoS攻击原理:
通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。
常见的DDoS攻击有SYN flood、UDP flood、ICMP flood等。其中SYN flood是最常见的一种,其原理是TCP协议设计中得缺陷(3次握手)。在SYN flood攻击时,首先伪造大量的源IP地址,分别向服务器发送的大量的SYN包,服务器会返回ACK/SYN包,但是IP是伪造的,所以服务器是不会受到应答的,会重试3-5次,并且等待一个SYN time(一般是39秒到2分钟),如果超时则丢弃这个连接。攻击者发送大量的这种伪造源地址的SYN请求,服务端会消耗很多的资源(CPU和内存)来处理这种半连接,同时还要对这些请求进行SYN/ACK重试,最后的结果就是服务器无暇理睬正常的连接请求,导致拒绝服务。

 

CC攻击的前身是一个叫fatboy的攻击程序,当时是黑客为了挑战绿盟的一款防DDoS设备开发的。
CC应该算是一个应用层的DDoS, 是发生在TCP3次握手已经完成之后,,所以发送的IP都是真实的,但应用层的DDoS又是甚至比网络层的DDoS更可怕,因为今天几乎所有的商业anti-DDoS设备,只在对抗网络层DDOS时效果较好,而对应用层DDoS攻击却缺乏有效的手段。
CC攻击的原理很简单,就是对一些消耗资源较大的应用页面不断地发起正常的请求,以达到消耗服务端资源的目的,在web应用中,查询数据库、读写硬盘文件的操作,相对都会消耗比较多的资源。一个简单的例子,一个小的网站,可能被搜索引擎、信息收集等系统的爬虫爬死,或者是扫描器扫死,这与应用层的DDoS攻击的结果很像。

 

 

本文固定链接: https://calc100.cn/safe/?p=56 | 百算安全平台

该日志由 百算 于2013年08月21日发表在 入侵演示 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 近段时间服务器入侵检测报告 | 百算安全平台

目前共有 1 条留言 【 访客:1 条, 博主:0 条 】 访客以 1:0 暂时领先博主!

  1. 沙发
    David:

    奇虎的攻击属于自动安全检测,其余的应是人为,今后可使用百算防御系统启动反击模式

    2013-08-21 下午 12:54

发表评论

快捷键:Ctrl+Enter