昨天查看系统日志 发现很多扫描器的记录(因涉及系统为客户的生产系统,以下记录的网址部分已替换):
[26/Jan/2010:09:29:30 +0800] "GET http://www.jiuzhe.com/Jsky_Web_Scanner_Test.dll HTTP/1.1" 200 16986 TCP_MISS:DEFAULT_PARENT
[26/Jan/2010:09:29:34 +0800] "GET http://www.jiuzhe.com/%3Cscript%3Ealert(42873) HTTP/1.1" 200 16986 TCP_MISS:DEFAULT_PARENT
[26/Jan/2010:09:29:34 +0800] "GET http://www.jiuzhe.com/_vti_bin/_vti_adm/admin.dll HTTP/1.1" 200 16986 TCP_MISS:DEFAULT_PARENT
[26/Jan/2010:10:18:38 +0800] "POST http://jiuzhe.com/_vti_bin/_vti_aut/author.dll HTTP/1.1" 200 16986 TCP_MISS:DEFAULT_PARENT
[26/Jan/2010:12:25:26 +0800] "GET http://www.jiuzhe.com/common/%3Cscript%3Ealert(42873).do HTTP/1.1" 200 16986 TCP_MISS:DEFAULT_PARENT
useragent.log 显示记录:
[26/Jan/2010:09:29:09 +0800] "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727) NOSEC.JSky/1.0"
通过Google搜索确认此次发现的扫描较为接近->:iiScan的扫描记录 :A closer look at the iiscan http://www.nosec.org/2010/0109/285.html
因为我的系统前端使用了Squid做缓存和过滤,所以只要修改下squid.conf 增加下面内容即可起:
#禁止使用UserAgent含NOSEC.JSky的扫描请求(注意:以下示例仅屏蔽了JSky产品,其他的扫描工具可以依据useragent中的有效信息参考屏蔽)
acl iiScan browser -i NOSEC.JSky
http_access deny iiScan
#禁止恶意\无效链接
acl badurl url_regex -i \.dll$ \.axpx$ \.asp$ \.bat$ \.sh$ \.nosec$ \.exe$ \.temp$ \.tmp$ \.save$ \.backup$ \.orig$ \.php~$ \.class$ \.log$
http_access deny badurl
本来我想因为我的项目在带宽和流量上是有着天然的优势的 对于请求恶意文件的 我是否应该放置几个假的超大的dll类文件供下载 后来感觉自己想的太天真的 这样的做法比七伤拳还要对自己伤害大 还是应该老实的做好安全工作就可以了
另:生产系统的运行目录应该确保除必须具备写权限的目录外 其他目录应为不可改写的状态 (防篡改模式)
修改记录:
通过搜索了解到iiScan为NoSec公司提供的一个基于web安全评估服务,而此次发现的扫描记录更接近在互联网上可免费下载到的JSky扫描产品的行为特征,特对言语不太妥当之处进行了修改。
本文章仅供个人学习交流之用,不带有任何指责\隐射任何公司\个人之意。
文中如有涉及各商业公司名称\产品,其有效商标等受当地法律保护。
如有转载或引用本文章内容,请务必保留此段修改记录,谢谢!
Tags: iiScan JSky Squid
发表评论