商业源码 服务器被攻击问题如何解决?
当服务器被攻击时,最容易被人忽略的地方,就是记录文件,服务器的记录文件了黑客活动的蛛丝马迹。在这里,我为大家介绍一下两种常见的网页服务器中最重要的记录文件,分析服务器遭到攻击后,黑客在记录文件中留下什么记录。
目前最常见的网页服务器有两种:Apache和微软的Internet Information Server (简称IIS)。这两种服务器都有一般版本和SSL认证版本,方便黑客对加密和未加密的服务器进行攻击。
IIS的预设记录文件地址在 c:winntsystem32logfilesw3svc1的目录下,文件名是当天的日期,如yymmddlog。系统会每天产生新的记录文件。预设的格式是W3C延伸记录文件格式(W3C Extended Log File Format),很多相关软件都可以解译、分析这种格式的档案。记录文件在预设的状况下会记录时间、客户端IP地址、method(GET、POST等)、URI stem(要求的资源)、和HTTP状态(数字状态代码)。这些字段大部分都一看就懂,可是HTTP状态就需要解读了。一般而言,如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求。300到399代表必须由客户端采取动作才能满足所提出的要求。400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个,一个是404,代表客户端要求的资源不在服务器上,403代表的是所要求的资源拒绝服务。Apache记录文件的预设储存位置在/usr/local/apache/logs。最有价值的记录文件是access_log,不过 ssl_request_log和ssl_engine_log也能提供有用的资料。 access_log记录文件有七个字段,包括客户端IP地址、特殊人物识别符、用户名称、日期、Method Resource Protocol(GET、POST等;要求哪些资源;然后是协议的版本)、HTTP状态、还有传输的字节。
我在这里所用的是与黑客用的相似的模拟攻击网站方式和工具。(注意:在本文中所介绍的方法请大家不要试用,请大家自觉遵守网络准则!)
分析过程
网页服务器版本是很重要的信息,黑客一般先向网页服务器提出要求,让服务器送回本身的版本信息。只要把「HEAD / HTTP/10」这个字符串用常见的netcat utility(相关资料网址:http://wwwl0phtcom/~weld/netcat/)和OpenSSL binary(相关资料网址:http://wwwopensslorg/)送到开放服务器的通讯端口就成了。注意看下面的示范:
C:>nc -n 100255 80
HEAD / HTTP/10
HTTP/11 200 OK
Server: Microsoft-IIS/40
Date: Sun, 08 Mar 2001 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private
这种形式的要求在IIS和Apache的记录文件中会生成以下记录:
IIS: 15:08:44 111280 HEAD /Defaultasp 200
Linux: 111280 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/10" 200 0
虽然这类要求合法,看似很平常,不过却常常是网络攻击的前奏曲。access_log和IIS的记录文件没有表明这个要求是连到SSL服务器还是一般的网页服务器,可是Apache的 ssl_request_log和ssl_engine_log(在/usr/local/apache/logs目录下)这两个记录文件就会记录是否有联机到SSL服务器。请看以下的ssl_request_log记录文件:
[07/Mar/2001:15:32:52 -0700] 111150 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/10" 0
第三和第四个字段表示客户端使用的是哪种加密方式。以下的ssl_request_log分别记录从OpenSSL、 Internet Explorer和Netscape客户端程序发出的要求。
[07/Mar/2001:15:48:26 -0700] 111150 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/10" 2692
[07/Mar/2001:15:52:51 -0700] 100255 TLSv1 RC4-MD5 "GET / HTTP/11" 2692
[07/Mar/2001:15:54:46 -0700] 111150 SSLv3 EXP-RC4-MD5 "GET / HTTP/10" 2692
[07/Mar/2001:15:55:34 –0700] 111280 SSLv3 RC4-MD5 “GET / HTTP/10” 2692
另外黑客通常会复制一个网站(也就是所谓的镜射网站。),来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport Pro(网址:http://wwwtenmaxcom/teleport/pro/homehtm)和Unix系统的wget(网址:http://wwwgnuorg/manual/wget/)。在这里我为大家分析wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容。这两个软件能全面快速搜寻整个网站,对所有公开的网页提出要求。只要检查一下记录文件就知道,要解译镜射这个动作是很简单的事。以下是IIS的记录文件:
16:28:52 111280 GET /Defaultasp 200
16:28:52 111280 GET /robotstxt 404
16:28:52 111280 GET /header_protecting_your_privacygif 200
16:28:52 111280 GET /header_fec_reqsgif 200
16:28:55 111280 GET /photo_contribs_sidebarjpg 200
16:28:55 111280 GET /g2klogo_white_bgdgif 200
16:28:55 111280 GET /header_contribute_on_linegif 200
注:111280这个主机是Unix系统的客户端,是用wget软件发出请求。
16:49:01 111150 GET /Defaultasp 200
16:49:01 111150 GET /robotstxt 404
16:49:01 111150 GET /header_contribute_on_linegif 200
16:49:01 111150 GET /g2klogo_white_bgdgif 200
16:49:01 111150 GET /photo_contribs_sidebarjpg 200
16:49:01 111150 GET /header_fec_reqsgif 200
16:49:01 111150 GET /header_protecting_your_privacygif 200
注:111150系统是窗口环境的客户端,用的是TeleportPro发出请求。
注意:以上两个主机都要求robotstxt这个档,其实这个档案是网页管理员的工具,作用是防止wget和TeleportPro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出robotstxt档的要求,常常代表是要镜射整个网站。但,TeleportPro和wget这两个软件都可以把要求robotstxt这个文件的功能取消。另一个侦测镜射动作的方式,是看看有没有同一个客户端IP反复提出资源要求。
黑客还可以用网页漏洞稽核软件:Whisker(网址:http://wwwwiretripnet/),来侦查网页服务器有没有安全后门(主要是检查有没有cgi-bin程序,这种程序会让系统产生安全漏洞)。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件。
IIS:
13:17:56 111150 GET /SiteServer/Publishing/viewcodeasp 404
13:17:56 111150 GET /msadc/samples/adctestasp 200
13:17:56 111150 GET /advworks/equipment/catalog_typeasp 404
13:17:56 111150 GET /iisadmpwd/aexp4bhtr 200
13:17:56 111150 HEAD /scripts/samples/detailsidc 200
13:17:56 111150 GET /scripts/samples/detailsidc 200
13:17:56 111150 HEAD /scripts/samples/ctguestbidc 200
13:17:56 111150 GET /scripts/samples/ctguestbidc 200
13:17:56 111150 HEAD /scripts/tools/newdsnexe 404
13:17:56 111150 HEAD /msadc/msadcsdll 200
13:17:56 111150 GET /scripts/iisadmin/bdirhtr 200
13:17:56 111150 HEAD /carbodll 404
13:17:56 111150 HEAD /scripts/proxy/ 403
13:17:56 111150 HEAD /scripts/proxy/w3proxydll 500
13:17:56 111150 GET /scripts/proxy/w3proxydll 500
Apache:
111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcachemap HTTP/10" 404 266
111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstophtml HTTP/10" 404 289
111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/indexcfm HTTP/10" 404 273
111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/10" 403 267
111150 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparserexe HTTP/10" 404 277
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_infhtml HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdistcgi HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplaycgi HTTP/10" 404 0
大家要侦测这类攻击的关键,就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息,就可以分析对方要求的资源;于是它们就会拼命要求提供 cgi-bin scripts(Apache 服务器的 cgi-bin 目录;IIS服务器的 scripts目录)。
小结
网页如果被人探访过,总会在记录文件留下什么线索。如果网页管理员警觉性够高,应该会把分析记录文件作为追查线索,并且在检查后发现网站真的有漏洞时,就能预测会有黑客攻击网站。
接下来我要向大家示范两种常见的网页服务器攻击方式,分析服务器在受到攻击后黑客在记录文件中痕迹。
(1)MDAC攻击
MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器,记录文件就会记下客户端曾经呼叫msadcsdll文档:
17:48:49 12128 GET /msadc/msadcsdll 200
17:48:51 12128 POST /msadc/msadcsdll 200
(2)利用原始码漏洞
第二种攻击方式也很普遍,就是会影响ASP和Java网页的暴露原始码漏洞。最晚被发现的安全漏洞是 +htr 臭虫,这个bug会显示ASP原始码。 如果有人利用这个漏洞攻击,就会在IIS的记录文件里面留下这些线索:
17:50:13 111280 GET /defaultasp+htr 200
网页常会只让有权限的使用者进入。接下来我们要让各位看 Apache的access_log记录文件会在登录失败时留下什么线索:
12128 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/10" 401 462
注:第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401,代表非法存取。
公司文档加密如何在自己电脑解除
公司文档加密如何在自己电脑解除,现在电脑已经基本普及了,不管是家庭还是公司都离不开电脑,然而很多用户往往忽视了电脑文件安全方面,以下分享公司文档加密如何在自己电脑解除。
公司文档加密如何在自己电脑解除1在win7中,可参考以下步骤解密文件夹。
1、找到被加密的文件夹。
2、右击鼠标,找到属性,然后直接点击进入即可。
3、在常规选项的属性那一栏,找到高级。
4、可以看到此时加密内容以便保护数据的左边是有打勾的。
5、将勾去掉,然后点击下方的确定。
6、再点击一次确定。
7、可以看到刚才的文件夹此时已经没有上锁了。
公司文档加密如何在自己电脑解除2
文件夹加密怎么解除
步骤1、首先,我们首先打开电脑桌面上的办公软件,在这里我们用excel来举例说明;
步骤2、打开之后我们进去选选择文件——在文件里我们选择下拉菜单另存为;
步骤3、选择另存为对话框之后我们看见了保存——加密——取消这几个选项,我们点击加密选项;
有三种加密方法可以同时选择也可以选择其中的一种
1、账号加密设置的权限是在你注册账号的情况下,只允许你制定的账号登陆;
2、密码加密就是只你对这个文件通过密码设置进行保护,只有输入正确密码的人才能查看这个文件;
3、硬件加密时指你通过外接的设备如U盘进行对U盘的保护进行文件保护,大家可以根据自己的情况进行设置,这里我介绍一下文件加密;
步骤5、点击密码加密我们看到两种情况一种是打开权限一种是编辑权限,打开权限是只有输入你设置的密码才能查看文件,我们在里面输入点击应用即可;
步骤6、编辑权限是只只有输入正确的密码才能对你的文件进行修改,你可以两个权限同时设置也可以只设置其中的一个,根据自己的情况,然后点击应用即可;
以上就是文件夹加密怎么解除的总结,希望能对大家有帮助。
公司文档加密如何在自己电脑解除3如何给文档加密及如何取消加密
常用的加密方法
选择「文件」选项下的「信息」找到「保护文档」,选择「用密码进行加密」。
然后在弹出的对话框中输入我们想要设定的密码即可搞定。
另存为加密方法
在文件另存为时进行加密,选择「文件」选项下「另存为」,选择「工具」旁边的下拉三角按钮,选中「常规选项」。
打开在“常规选项”对话框,设置密码。
取消文档密码
Word 文档添加密码以后,如何解除密码呢?
同样的方法,选择「文件」选项中的「信息」,选择「保护文档」,再次点击
「用密码进行加密」,然后加密码删除,设为空,确定以后,即可将文档密码就解除。
限制内容设置格式样式
如果一份文档设置好格式样式,不希望收到的人随意去修改上面的格式样式, 那么,我们应该进行“限制内容设置格式样式”。
选择「文件」-「信息」-「保护文档」-「限制编辑」。
此时,Word 文档右侧会弹出「格式设置限制」的选项。
勾选第一项「1限制对选定的样式设置格式」,然后勾选第三项「是,启动强制保护」,然后设置一下密码即可。
设置后,我们再次选中文中的内容,你会发现,所有设定格式样式的功能按钮,全部变成灰色未激活状态,不能进行格式样式的设定了。
限制修改内容
如果我们的文档是发给用户预览的,而不希望用户在上面随意修改重要的内容,那么,我们应该怎么样设置权限呢?
如果对部分内容可以修改,部分重要内容不能修改。我们首先选中不重要可修改内容,然后进入「文件」-「信息」-「保护文档」-「限制编辑」,勾选第二项「仅允许在文档中进行此类的编辑:」-「不允许任何更改(只读)」;勾选「每个人」;然后勾选第三项「是,启动强制保护」。设置完毕后,我们回到文档看看, 被选中的不重要可修改的段落是完全可以修改的。
没有选中的重要内容,我们无论怎么删除修改,都会提示:由于所选内容已被锁定,您无法进行此更改。
总结:
1常用的加密方法;
2另存为加密方法;
3取消文档密码;
4限制内容设置格式样式;
5限制修改内容。
一、专业版服务器端单独登陆金蝶KIS时没有任何问题;
1客户端登陆时,在服务器里输入“服务器计算机名”或"IP"地址,系统能刷出账套列表,但是单击登陆时,则会提示“登陆时出现问题,请重新输入”
2如果输入或选择"服务器名称",则系统有时会直接跳出"无效的服务器"
二、处理过程:
1修改客户端HOSTS文件,关闭杀毒软件,关掉所有防火墙,客户端可以PING通SERVER并且可以打开共享文件夹,客户端登陆照旧提示"登陆时出现问题,请重新输入";
2有些是更改服务器电脑名称引起的,若是更改计算机名称引起,可以先登陆账套管理,然后再登陆软件;
3如果是由防火墙、杀毒软件引起,可以在运行中输入cmd,在弹出界面输入netstat -a -n,查看以下端口是否开启,然后修改防火墙、杀毒软件设置
TCP:135、139、445、1069、1090、1433、2967、6985、6988
UDP:137、445、1033、1434、1058、2123、3000
4删除SERVER的金蝶专业版及数据库(msde2000),安装SQL 2000标准版打上SP4补丁,重装KIS专业版,客户端登陆OK了。
三、相关的原因
⑴"无法连接到服务器,用户xxx登陆失败"
该错误产生的原因是由于SQL Server使用了"仅Windows"的身份验证方式,因此用户无法使用SQL Server的登录帐户(如sa)进行连接;
⑵解决方法:修改注册表的方法
1点击"开始"-"运行",输入regedit,回车进入注册表编辑器;
2依次展开注册表项,浏览到以下注册表键:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer]
3在屏幕右方找到名称"LoginMode",双击编辑双字节值
4将原值从1改为2,点击"确定"
5关闭注册表编辑器
6重新启动SQL Server服务
⑶此时,用户可以成功地使用sa在企业管理器中新建SQL Serv注册,但是仍然无法使用Windows身份验证模式来连接SQL Ser这是因为在SQL Serv中有两个缺省的登录帐户:
BUILTIN\Administrators <机器名> \Administrator 被删除
要恢复这两个帐户,可以使用以下的方法:
1打开企业管理器,展开服务器组,然后展开服务器
2展开"安全性",右击"登录",然后单击"新建登录"
3在"名称"框中,输入BUILTIN\Administrators
4在"服务器角色"选项卡中,选择"System Administrators"
5点击"确定"退出
6使用同样方法添加<机器名> \Administrator登录
0条评论