• 所有问题

    • 一个奇怪的问题,访问ASP页面过快就会被服务器自动封IP

    一个奇怪的问题,访问ASP页面过快就会被服务器自动封IP,换个IP就可以访问,叫服务器那里清理IP也不行,请问高手们是哪里的问题?
    不是空间是独立服务器

    举报该问题
    推荐答案   2010-11-10
    谈谈服务器被ARP攻击 所有网站被挂上ifram网页木马
    给某个网站挂木马是个老调重提的问题,归根结底是:安全防护意识不够严密。
    06年,曾经协同管理过一台服务器,服务器的安全配置十分松懈,所在看来,基本没做什么安全配置,也就是改了改管理员密码,禁用了GUEST帐号。。。。甚至有些分区是FAT32。结果十分的惨列,服务器上的门户被拿下,劳苦奔波(服务器在异地),起早贪黑重安装操作系统,最后,网站被人全部拿走挂在网上出售。现在想想,仍然十分痛心。
    原归正转,06年服务器上经常被挂网页木马,经常被拿webshell,主要是这几种:
    网页安插Iframe代码 2、JS Script代码 3、加密的代码几种。
    这三种方法只要找到一个页面有漏洞,就可能给网站全部加入上述3种形式的“木马网页代码的地址”。如果权限没有合理配置,还有可能“跨站”攻击,甚至服务器操作系统的小命都不保。
    上述三种挂马方式的步骤无非是:先扫描 - 找注入点(一般是ASP)站点 --上传小型木马(利用网站备份数据库功能、网站代码不严谨,对FSO使用权限控制不严格)---上传大型木马(基于WEBShell Wscript FSO等 编程实现的网站、网页检测管理系统,如海洋木马、控制能力非常强),至此,该站就已经OVER了。
    07年年末攻击另一种手段开始在局域网,机房泛滥:
    ARP攻击
    属于那种杀人于无形的。非常讨厌的一点是,让被攻击者心惊肉跳的进行服务器检查工作,不过,此招对于经验丰富的网络管理员不算什么,必竟给网页代码安插木马地址,让客户机中毒的下三滥手段不会是什么“高人”。
    举个今天发生的事列,典型的ARP攻击。
    运行情况:
    服务器的安防配置较为严谨,管理也非常严格。
    运行一年多(除省网路由出问题外)没什么问题。
    补丁自动安装,它自已按需要重启
    访问量中等、定期进行检测、备份数据
    就在今日,突然不能访问了。
    症状:两台服务器同时不能访问(在同一IP段)所有的网站的网页打不开,或者是打开的是天书一样的乱码、或者是“弹出对话框〔该文件无法下载〕”......让外地的朋友、本地的朋友打开测试,有的说能打开,但有毒;有的说打不开。云云.....心里发紧啊!
    排查步骤:
    1、远程连接(全部顺利)
    2、因为所有站点打不开,所以,选了一个ASP和一个PHP网站进行代码检查,没有发现改动(代码没有更改、日期属性没变化)
    3、检查FTP服务器 查看日志 查看连接记录 对比文件MD5 帐号(全部正常)
    4、检查系统日志 应用程序日志 登录日志 除有少数ZEND报错外 (其它正常)
    5、检查系统帐户 检查关键位置的文件 检查各站点的权限(因为网站较少)(正常)
    6、Netstat-an 长时间检查观察端口连接情况 (没发现异常)
    7、服务器上打开所有站点均正常 两台服务器互相访问正常
    8、更换网络环境进行访问 A公司电信局域网 B另一处网通局域网 C家里 D网吧 (ABD打不开 C可以打开,但网页第一行代码有IFRAM代码),同时还发现一个奇特的现象,Mail服务器的WEB端口号是“非80端口,非IIS服务,邮局系统的网页正常打开,而且没有异常 :) 有戏了。
    9、开始有点闷。
    说实在的,马上就要过年了,加上这段时间有些任务压的很紧,谁都想把活干完舒服的过一个年。火车票还没买呢~~~唉。现在不是添乱吗。
    分析一下情况吧:
    ·好象服务器没有被人拿到Webshell,也没有从其它程序提权,以目前的“大众黑客”的水平,不至于搞出什么花样吧,难道得罪了高手?
    ·听说过“IIS挂马”一说,就是利用IIS的配置文件和IIS的筛选器(加载修改的DLL文件)做手脚的,对本了一下本地的系统文件大小和MD5和检查了配置文件,没发现什么不对。
    ·既然两台同一网段内的服务器互相访问网站没有问题,两台服务器自己访问自己的网站也没有问题;但在家里打开时和在公司打开却出现了奇怪的现象,只能怀疑网页在网络传输中做了手脚(干,网络大了去了 我哪有功夫去查经过了多少网关路由 哪个环节出了问题 再说人家也不让我查啊)
    ·要是说本地网络中了恶意软件或者ARP???不会吧,这么多地方同一时间都出问题,所以不可能。那说明我的运气也差的可以了。
    说起ARP,突然想起两件事:
    1、公司所在大厦的局域网掉线
    2、访问任何网页,病毒防火墙都提示有病毒,(百度、GOOGLE、163、SINA。。。。。都一起中毒了,呵呵)

    引用内容
    07年夏天,大厦的网络非常差,不是慢,是经常无规律的掉线,后来我把公司局域网的路由器换成了一台计算机(上双网卡)域局网服务器,安上流量分析软件、安了个ARP防火墙,果不其然,我们子网内的其它公司,有个IP一直发送ARP攻击包伪造网关IP地址。
    机房也是个特殊的局域网,所以不能排除某些管理员把生了虫的服务器当乖宝宝养着。
    开始动手尝试解决
    本地先测试软件是否和操作系统冲突,是否蓝屏,是否报错,是否断网,当然包括是否有后门和病毒。这些都做好后,没有问题了再往服务器上安装,拿一台服务器做试验田了,找个ARP防火墙装上,重新启动服务器。
    重新启动后,远程结果如下图:
    图一:某台害群之马
    图二:攻击数据量
    防御成功!
    再打开网页,OK,全部的ifram代码消失了。
    结束语:
    虽然浪费了几个小时的时间去处理这件事,但收获还是不小的,拿出来大家分享一下。由于这个
    软件是试用版的,所以为了服务器以后不受此类干扰,还在这方面投入一下精力做一下安全。
    稍候会转贴一些服务器上安装“服务器版ARP防火墙”的内容,其它朋友写的较详细了这里就不做赘述了。
    另外,奉劝哪些正在做“大众黑客”和损人利已的攻击者们,适可而止。网络已经不是曾经的“假面舞会”。
    温馨提示:答案为网友推荐,仅供参考
    其他回答
    第1个回答  2010-10-27
    是你的问题,访问页面不要太快,这个是服务器设置的 防止恶意刷机的
    第2个回答  2010-10-27
    是那网站数据库里面保存了你的IP吧
    相似回答
    一个网站点击频率很快,然而点着点着那个网就进不去了!之后就再也进...答:被封IP了,因为你点击过多,人家以为你是刷流量的肯定进不去了,所以用你的机子是进不去了没办法了,换个网站吧!
    iis卡死,怀疑是asp问题答:如果很高的话,可能是ASP程序死循环,或者网站有漏洞被人攻击中 把出问题的3个放一个进程池里的网站,都放入新开独立的池,在任务管理器开出PID 然后在任务管理从进程池的PID检查是哪个网站出的问题哦...你的说的20分钟,池的空闲关闭时间,1000是请求限制,应该没有关系的 还有哦,如1楼说的,在控制面板...
    asp采集程序CPU问题答:查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。 直接原因: 有一个或多个ACCESS数据库在多次读写过程中损坏,微软的 MDAC 系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态...
    一个关于asp注册页面的问题,请求达人解决,毛病很奇怪!答:Form("loginname")&"' or netName='"&Request.Form("netname")&"'"response.Write("2|"&session("userID")&"|")ygRs.open strQ,ygConn,1,3 If not (ygRs.eof and ygRs.bof) Then response.Write("3用户名或网名已存在|"&session("userID")&"|")else call regDB()end If ...
    大家正在搜
    页面遇到一些小问题该页面无法被访问访问的页面出错了怎么办问题页面页面出现问题怎么办页面出现问题了怎么进入报告问题页面页面访问