问题标签 [server-side-attacks]

我们为我们的网站提供了非常强大的设置。带有负载平衡器的防火墙，后面有 2 个 Web 服务器和 2 个高可用性 MySQL 服务器。我们的业务是向我们的广告商支持的网站发送尽可能多的流量。

最近，我们收到了大量的外国流量（主要是中国）。每小时数百万游客。它几乎表现得像一次攻击。

我可以使用 PHP 分析 IP 并根据他们的国家/地区重定向访问者，但即使这样也会导致负载很高并且我们的 fCGI 插槽完全填满。此外，我们的主持人告诉我们，在防火墙上应用国家过滤器会减慢速度并导致问题。

有谁知道在某些流量到达我们的环境之前过滤某些流量的服务或方法？也许一种在 DNS 级别做到这一点的方法？

大约一个月以来，我在我的服务器中的 Apache2 日志文件中累积了很多这些条目，如下所示。我花了几天时间试图找出这是否真的是服务器中的黑客攻击以及如何真正解释这种条目。我想请你帮忙澄清这是否是一种攻击，如果是，那么在服务器中的何处搜索入侵者脚本或文件。referer变化挺频繁的，但是请求的资源一般都是一样的，主要是dump的sql文件。

127.0.0.1 - - [01/May/2017:13:05:39 -0500] "GET /sql.sql HTTP/1.1" 404 460 "e5755.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/ 537.36（KHTML，如 Gecko）Chrome/50.0.2661.75 Safari/537.36"

127.0.0.1 - - [01/May/2017:13:05:43 -0500] "GET /db.zip HTTP/1.1" 404 459 "e5755.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/ 537.36（KHTML，如 Gecko）Chrome/50.0.2661.75 Safari/537.36"

127.0.0.1 - - [01/May/2017:13:05:52 -0500] "GET /db.tar.gz HTTP/1.1" 404 470 "smbexperience.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.75 Safari/537.36"

我创建了一个网站，我在 1 天内收到了 5300 多条消息，有一个 JavaScript 内容

我解决了问题以停止添加验证码的消息

但我想知道这是什么

消息内容为：

我正在尝试解决我大学的互动练习。有一个字段用于用户名，一个字段用于密码。我必须在不知道密码的情况下使用我的学生 ID（我当然知道，但我不想在这里透露）登录。在尝试了一些简单的东西后，我收到了下面的错误消息。我想这应该对我有帮助，但我不确定。也许有人可以给我一个提示？

我遇到了麻烦帮助我找出问题我已经在我的 Apache 服务器上运行我的网站很长一段时间了，最​​近遇到了一个让我难过的问题。

我的服务器过去曾受到 DDOS 攻击，要求我将服务器移动到代理/WAF 后面。有一段时间我支持 Sucuri，因为它提供了当时最实惠的防守。攻击逐渐减少，我免费迁移到 Cloudflare 以保护我的 IP 地址，同时减轻我每月的服务器成本。切换很顺利，几个月来一切都运行良好。

我最近再次受到似乎是第 7 层攻击的攻击。我可以在我的域的 access.log 中看到几个 IP 地址每隔几秒发出 10-20 个请求。运行 netstat 会返回数千个 TIME_WAIT 和 SYN_RECV，它们都带有 Cloudflare IP 地址。这让我相信攻击是针对我的域的，由 Cloudflare 代理，并且无论我的安全设置如何都会到达我的服务器。我通过查看 Cloudflare 提供的统计数据并在短时间内看到数百万个请求确认了这一点。不幸的是，这使得精确定位攻击变得更加困难。我应该怎么办。

我启用了 syn cookie，将 mod_cloudflare 添加到 Apache，激活 Cloudflare 的 WAF / 速率限制规则，阻止违规 IP 地址，并使用 mod_evasive 自动将未来的违规者列入黑名单。这减少了（并且几乎停止了）在 Apache 访问日志中看到的恶意请求的数量，但没有解决 timeouts.check站点

根据 Cloudflare 分析，在过去的 6 小时内，我只收到了 16,000 个请求（而当我受到积极攻击时，我收到了数千万个请求），但我在所有其他请求上都遇到了超时（即使是直接连接，没有 Cloudflare）。谢谢

在我们的 Web 应用程序上运行 Burp 安全套件后，我在一个页面中遇到了一个类似“外部服务交互”的问题，其中有一个用于获取电子邮件地址的文本框。把它想象成邀请其他人访问我们的网站。

该页面应该向用户输入的地址发送电子邮件，因此服务器将解析电子邮件地址中的域名，如 gmail.com、hotmail.com 等。

Burp Suite 说，这可以用作攻击代理。我们有机制来阻止对我们网站的 DDoS 攻击，从而减少我们网站上的攻击面。

还有哪些其他类型的攻击是可能的，我们应该部署哪些预防机制？

我知道所有关于准备语句和散列等的知识。我总是牢记安全，但有一天我在想，有人会如何真正闯入这样的事情？我知道你可以 SQL 注入一些数据库驱动的东西，但这当然不是数据库驱动的。

但我想知道有人如何能够在不暴力破解的情况下真正闯入这个非常简单的登录？

是否可以在这里进行任何类型的攻击以在没有任何暴力破解的情况下进入此登录？否则就不可能。

笔记：

我当然不包括在服务器上放病毒之类的东西，我的意思是在合理的范围内，具有高级技术知识的用户可以以某种方式闯入吗？

我正在研究 CORS 攻击、XSS 和 JSONP 以及跨源嵌入模型，以获取有关跨源资源共享的信息。但我不清楚 JSONP 逻辑。我是这个话题的新手。任何人都可以使用 JSONP 进行攻击吗？我们如何防止这种攻击？你能解释一下 CSRF 令牌吗？

最近我的 wordpress 网站被黑了，我通过重新安装 wp-content 文件夹的备份版本并在网站中运行和修复 wordfence 插件解决了这个问题。但是我的网站显示 500 错误，当我发现问题出在 aws-autoloader.php 文件时。此 aws-autoloader.php 被替换为 aws-autoloader.php 可疑文件，因为该文件未加载该站点：

/var/www/html/wp-content/plugins/amazon-web-services/vendor/aws/aws-autoloader.php

该文件被重命名为 aws-autoloader.php.suspected。

有什么建议或意见来解决这个问题？

我正在使用 HP Fortify 工具来检测我的项目的漏洞，它提供了一些易受 DOS 攻击的代码。

while reading some regular expression through some '.properties' and then trying to create a pattern by Pattern.compile(regex);

不受信任的数据被传递给应用程序并用作正则表达式。这会导致线程过度消耗 CPU 资源。

查询： 现在为解决方案，

• 如果我将在 java 文件本身中对正则表达式进行硬编码，那么它将不再是动态的。
• 我不确定是否应该对读取的属性进行验证

谁能建议可以使用哪种针对 DOS 的验证？