日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

當(dāng)今社會(huì)，隨著科技的快速發(fā)展，數(shù)據(jù)泄露已經(jīng)成為了一個(gè)非常普遍的問題。不幸的是，很多公司遭遇數(shù)據(jù)泄露，但是并沒有能夠及時(shí)發(fā)現(xiàn)，導(dǎo)致大量用戶信息被泄露。針對(duì)這個(gè)問題，很多人都在研究如何有效的發(fā)現(xiàn)數(shù)據(jù)泄露，找到攻擊者的攻擊痕跡，從而及時(shí)制止。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：申請(qǐng)域名、雅安服務(wù)器托管、營(yíng)銷軟件、網(wǎng)站建設(shè)、蘭坪網(wǎng)站維護(hù)、網(wǎng)站推廣。

在理解攻擊痕跡的概念之前，我們首先需要明確數(shù)據(jù)泄露的含義。數(shù)據(jù)泄露指的是通過(guò)非法的手段獲取他人的數(shù)據(jù)信息并進(jìn)行公開或者使用的行為，也可以說(shuō)是非法的信息獲取和使用。作為數(shù)據(jù)泄露的受害者，我們的個(gè)人信息被用于非法的目的，這是很令人不安的。

但是一旦數(shù)據(jù)泄露發(fā)生之后，攻擊者留下的攻擊痕跡，或者叫做攻擊足跡，會(huì)成為我們尋找攻擊者的重要線索。這個(gè)痕跡，主要包括以下三種情況。

首先是數(shù)據(jù)被訪問的時(shí)間。攻擊者在非法獲取數(shù)據(jù)時(shí)，通常會(huì)留下訪問數(shù)據(jù)的時(shí)間，這個(gè)時(shí)間是一個(gè)非常重要的攻擊痕跡。因?yàn)檫@個(gè)時(shí)間越早，數(shù)據(jù)泄露的影響就越大，而在這個(gè)時(shí)間點(diǎn)的操作記錄也會(huì)非常有價(jià)值。

其次是攻擊者的行動(dòng)軌跡。攻擊者的行動(dòng)軌跡指的是攻擊者在非法獲取數(shù)據(jù)的過(guò)程中留下的信息記錄。例如：攻擊者在什么地方獲取數(shù)據(jù)、通過(guò)什么方式獲取數(shù)據(jù)、以及哪些數(shù)據(jù)被訪問等等，這些都是攻擊者的行動(dòng)軌跡。我們可以通過(guò)這些軌跡找到攻擊者的入口點(diǎn)，從而知道哪里需要加強(qiáng)安全防范，以避免數(shù)據(jù)泄露的發(fā)生。

最后是攻擊者的IP地址。攻擊者的IP地址指的是攻擊者進(jìn)行非法攻擊時(shí)的電腦的IP地址。攻擊者的IP地址是一個(gè)非常重要的信息，因?yàn)槲覀兛梢酝ㄟ^(guò)這個(gè)IP地址來(lái)追蹤攻擊者的來(lái)源地，從而鎖定攻擊者的具置，為后續(xù)的追蹤和調(diào)查提供更可靠的線索。

但是需要注意的是，統(tǒng)計(jì)表明，許多公司都沒有足夠的能力通過(guò)一定的技術(shù)手段及時(shí)發(fā)現(xiàn)攻擊痕跡。事實(shí)上，很多公司甚至不知道自己受到了攻擊，從而拖延了處理攻擊事件的時(shí)間。所以，我們?cè)趯?shí)際操作中需要加強(qiáng)監(jiān)控的力度，及時(shí)發(fā)現(xiàn)問題，防患于未然。

綜上所述，在面對(duì)數(shù)據(jù)泄露問題時(shí)，我們首先需要了解攻擊痕跡的含義，并針對(duì)攻擊痕跡采取相應(yīng)的應(yīng)對(duì)措施。數(shù)據(jù)泄露增多的今天，企業(yè)要加強(qiáng)安全防范，防止數(shù)據(jù)泄露，更重要的是，發(fā)現(xiàn)攻擊痕跡，并在之一時(shí)間對(duì)攻擊事件進(jìn)行處理，保護(hù)用戶的權(quán)益，避免不必要的損失。

相關(guān)問題拓展閱讀：

• SQL注入攻擊能夠查看、修改或者刪除數(shù)據(jù)庫(kù)條目和表？
• 服務(wù)器被攻擊后怎么處理？

SQL注入攻擊能夠查看、修改或者刪除數(shù)據(jù)庫(kù)條目和表？

是的，SQL注入攻擊能夠查看、修改或者擾蔽緩刪除數(shù)據(jù)庫(kù)條目和表。SQL注入攻擊利用了Web應(yīng)用程序中的漏洞，允許攻并或擊者提交惡意的SQL命令，以便訪問和操縱數(shù)據(jù)庫(kù)中的緩模數(shù)據(jù)。

服務(wù)器被攻擊后怎么處理？

目前來(lái)說(shuō)解決服務(wù)器被DDOS攻擊最常見的辦法就是使用硬件防火墻了，也就是我們常說(shuō)的高防服務(wù)器，高防服務(wù)器都會(huì)帶有一定量的硬防，或大或小。

1、定期掃描

要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)，清查可能存在的安全漏洞，對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬，是黑客利用的更佳位置，因此對(duì)這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的。而且連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的都是服務(wù)器級(jí)別的計(jì)算機(jī)，所以定期掃描漏洞就變得更加重要了。

2、在骨干節(jié)點(diǎn)配置防火墻

防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時(shí)候，可以將攻擊導(dǎo)向一些犧牲主機(jī)，這樣可以保護(hù)真正的主機(jī)不被攻擊。當(dāng)然導(dǎo)向的這些犧牲主機(jī)可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。

3、用足夠的機(jī)器承受黑客攻擊

這是一種較為理想的應(yīng)對(duì)策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時(shí)，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無(wú)力支招兒了。不過(guò)此方法需要投入的資金比較多，平時(shí)大多數(shù)設(shè)備處于空閑狀態(tài)，和目前中小企業(yè)網(wǎng)絡(luò)實(shí)際運(yùn)行情況不相符。

4、充分利用網(wǎng)絡(luò)差棚設(shè)備保護(hù)網(wǎng)絡(luò)資源

所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負(fù)載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護(hù)起來(lái)。當(dāng)網(wǎng)絡(luò)被攻擊時(shí)更先死掉的是路由器，但其他機(jī)器沒有死。死掉的路由器經(jīng)重啟后會(huì)恢復(fù)正常，而且啟動(dòng)起來(lái)還很快，沒有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會(huì)丟失，而且重啟服務(wù)器又是一個(gè)漫長(zhǎng)的過(guò)程。特別是一個(gè)公司使用了負(fù)載均衡設(shè)備，這樣當(dāng)一臺(tái)路由器被攻擊死機(jī)時(shí)，另一臺(tái)將馬上工作。從而更大程度的削減了DdoS的攻擊。

5、過(guò)濾不必要的服務(wù)和端口

過(guò)濾不必要的服務(wù)和端口，即在路由器上過(guò)濾假IP……只開放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

6、檢查訪問者的來(lái)源

使用Unicast Reverse Path Forwarding等通過(guò)反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來(lái)自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡(luò)安全性。

7、過(guò)濾所有RFC1918 IP地址

RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個(gè)網(wǎng)段的固定的IP地址，而是Internet內(nèi)部螞稿保留的區(qū)域性IP地址，應(yīng)該把它們過(guò)濾掉。此方法并不是過(guò)濾內(nèi)部員工的訪問，而是將攻擊時(shí)偽造的大量虛假內(nèi)部IP過(guò)濾，這樣也可以減輕DdoS的攻擊。

8、限制SYN/ICMP流量

用戶應(yīng)在路由器上配置SYN/ICMP的更大流量來(lái)限制SYN/ICMP封包所能占有的更高頻寬，這樣，當(dāng)出現(xiàn)大量的超過(guò)所限定的SYN/ICMP流量時(shí)，說(shuō)明不是悶慶孝正常的網(wǎng)絡(luò)訪問，而是有黑客入侵。早期通過(guò)限制SYN/ICMP流量是更好的防范DOS的方法，雖然目前該方法對(duì)于DdoS效果不太明顯了，不過(guò)仍然能夠起到一定的作用。

1、發(fā)現(xiàn)服務(wù)器被入侵，應(yīng)立即關(guān)閉所有網(wǎng)站服務(wù)，暫停至少3小時(shí)。這時(shí)候很多站長(zhǎng)朋友可能會(huì)想，不行呀，網(wǎng)站關(guān)閉幾個(gè)小時(shí)，那該損失多大啊，可是你想想，是一個(gè)可能被黑客修改的釣魚網(wǎng)站對(duì)客戶的損失大，還是一個(gè)關(guān)缺磨閉的網(wǎng)站呢?你可以先把網(wǎng)站暫時(shí)跳轉(zhuǎn)到一個(gè)單頁(yè)面，寫一些網(wǎng)站維護(hù)的的公告。

2、下載服務(wù)器日志，并且對(duì)服務(wù)器進(jìn)行全盤殺毒掃描。這將花費(fèi)你將近1-2小時(shí)的時(shí)間，但是這是必須得做的事情，你必須確認(rèn)黑客沒在服務(wù)器上安裝后門木馬程序，同時(shí)分析系統(tǒng)日志，看黑客是通過(guò)哪個(gè)網(wǎng)站，哪個(gè)漏洞入侵到服務(wù)器來(lái)的。找到并確認(rèn)攻擊源，并將黑客掛馬的網(wǎng)址和被篡改的黑頁(yè)面截圖保存下來(lái)，還有黑客可能留下的個(gè)人IP或者代理IP地址。

3、Windows系統(tǒng)打上最新的補(bǔ)丁，然后就是mysql或者sql數(shù)據(jù)庫(kù)補(bǔ)丁，還有php以及IIS，serv-u就更不用說(shuō)了，經(jīng)常出漏洞的東西，還有就是有些IDC們使用的虛擬主機(jī)管理軟件。

4、關(guān)閉刪除所有可茄咐疑的系統(tǒng)帳號(hào)，尤其是那些具有高權(quán)限的系統(tǒng)賬戶!重新為所有網(wǎng)站目錄配置權(quán)限，關(guān)閉可執(zhí)行的目錄權(quán)限，對(duì)圖片和非腳本目錄做無(wú)權(quán)限處理。

5、完成以上步驟后，你需要把管理員賬戶密碼，以及數(shù)據(jù)庫(kù)管理密碼，特別是sql的sa密碼，還有mysql的root密碼，要知道，這些賬戶都伏納斗是具有特殊權(quán)限的，黑客可以通過(guò)他們得到系統(tǒng)權(quán)限!

6、Web服務(wù)器一般都是通過(guò)網(wǎng)站漏洞入侵的，你需要對(duì)網(wǎng)站程序進(jìn)行檢查(配合上面的日志分析)，對(duì)所有網(wǎng)站可以進(jìn)行上傳、寫入shell的地方進(jìn)行嚴(yán)格的檢查和處理。如果不能完全確認(rèn)攻擊者通過(guò)哪些攻擊方式進(jìn)行攻擊，那就重裝系統(tǒng)，徹底清除掉攻擊源。

當(dāng)服務(wù)器被攻擊時(shí)，最容易被人忽略的地方，就是記錄文件，服務(wù)器的記錄文件了黑客活動(dòng)的蛛絲馬跡。在這里，我為大家介紹一下兩種常見的網(wǎng)頁(yè)服務(wù)器中最重要的記錄文件，分析服務(wù)器遭到攻擊后，黑客在記錄文件中留下什么記錄。

目前最常見的網(wǎng)頁(yè)服務(wù)器有兩種：Apache和微軟的Internet Information Server （簡(jiǎn)稱IIS）。這兩種服務(wù)器都有一般版本和SSL認(rèn)證版本，方便黑客對(duì)加密和未加密的服務(wù)器進(jìn)行攻擊。

IIS的預(yù)設(shè)記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下，文件名是當(dāng)天的日期，如yymmdd.log。系統(tǒng)會(huì)每天產(chǎn)生新的記錄文件。預(yù)設(shè)的格式是W3C延伸記錄文件格式（W3C Extended Log File Format），很多相關(guān)軟件都可以解譯、分析這種格式的檔案。記錄文件在預(yù)設(shè)的狀況下會(huì)記錄時(shí)間、客戶端IP地址、method（GET、POST等）、URI stem（要求的資源）、和HTTP狀態(tài)（數(shù)字狀態(tài)代碼）。這些字段大部分都一看就懂，可是HTTP狀態(tài)就需要解讀了。一般而言，如果代碼是在200到299代表成功。常見的200狀態(tài)碼代表符合客戶端的要求。300到399代表必須由客戶端采取動(dòng)作才能滿足所提出的要求。400到499和500到599代表客戶端和服務(wù)器有問題。最常見的狀態(tài)代碼有兩橘啟個(gè)，一個(gè)是404，代表客戶端要求的資源不在服務(wù)器上，403代表的是所要求的資源拒絕服務(wù)。Apache記錄文件的預(yù)設(shè)儲(chǔ)存位置在/usr/local/apache/logs。最有價(jià)值的記錄文件是access_log，不過(guò) ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個(gè)字段，包括客戶端IP地址、特殊人物識(shí)別符、用戶名稱、日期、Method Resource Protocol（GET、POST等；要求哪些資源；然后是協(xié)議的版本）、HTTP狀態(tài)、還有傳輸?shù)淖止?jié)。

我在這里所用的是與黑客用的相似的模擬攻擊網(wǎng)站方式和工具。（注意：在本文中所介紹的方法請(qǐng)大家不要試用，請(qǐng)大家自覺遵守網(wǎng)絡(luò)準(zhǔn)則?。?/p>

分析過(guò)程

網(wǎng)頁(yè)服務(wù)器版本是很重要的信息，黑客一般先向網(wǎng)頁(yè)服務(wù)器提出要求，讓服務(wù)器送回本身的版本信息。碼伍如只要把「HEAD / HTTP/1.0」這個(gè)字符串用常見的netcat utility（相關(guān)資料網(wǎng)址：

）和OpenSSL binary（相關(guān)資料網(wǎng)址：

）送到開放服務(wù)器的通訊端口就成了。注意看下面的示范：

C:>nc -n 10.0.2.55 80

HEAD / HTTP/1.0

HTTP/1.1 200 OK

Server: Microsoft-IIS/4.0

Date: Sun, 08 Mar:31:00 GMT

Content-Type: text/html

Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

Cache-control: private

這種形式的要求在IIS和Apache的記錄文件中會(huì)生成以下記錄：

IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200

Linux: 11.1.2. “HEAD / HTTP/1.0”

雖然這類要求合法，看似很平常，不過(guò)卻常常是網(wǎng)絡(luò)攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個(gè)要求是連到SSL服務(wù)器還是一般的網(wǎng)頁(yè)服務(wù)器遲啟，可是Apache的 ssl_request_log和ssl_engine_log（在/usr/local/apache/logs目錄下）這兩個(gè)記錄文件就會(huì)記錄是否有聯(lián)機(jī)到SSL服務(wù)器。請(qǐng)看以下的ssl_request_log記錄文件：

11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA “HEAD / HTTP/1.0” 0

第三和第四個(gè)字段表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發(fā)出的要求。

11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA “GET / HTTP/1.0” 2692

10.0.2.55 TLSv1 RC4-MD5 “GET / HTTP/1.1” 2692

11.1.1.50 SSLv3 EXP-RC4-MD5 “GET / HTTP/1.0” 2692

11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692

另外黑客通常會(huì)復(fù)制一個(gè)網(wǎng)站（也就是所謂的鏡射網(wǎng)站。），來(lái)取得發(fā)動(dòng)攻擊所需要的信息。網(wǎng)頁(yè)原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復(fù)制網(wǎng)站常用的工具包括窗口系統(tǒng)的Teleport Pro（網(wǎng)址：

）和Unix系統(tǒng)的wget（網(wǎng)址：

）。在這里我為大家分析wget和TeleportPro這兩個(gè)軟件攻擊網(wǎng)頁(yè)服務(wù)器后記錄文件中的內(nèi)容。這兩個(gè)軟件能全面快速搜尋整個(gè)網(wǎng)站，對(duì)所有公開的網(wǎng)頁(yè)提出要求。只要檢查一下記錄文件就知道，要解譯鏡射這個(gè)動(dòng)作是很簡(jiǎn)單的事。以下是IIS的記錄文件：

16:28:52 11.1.2.80 GET /Default.asp 200

16:28:52 11.1.2.80 GET /robots.txt 404

16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200

16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200

16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200

16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200

16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

注：11.1.2.80這個(gè)主機(jī)是Unix系統(tǒng)的客戶端，是用wget軟件發(fā)出請(qǐng)求。

16:49:01 11.1.1.50 GET /Default.asp 200

16:49:01 11.1.1.50 GET /robots.txt 404

16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200

16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200

16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200

16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200

16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200

注：11.1.1.50系統(tǒng)是窗口環(huán)境的客戶端，用的是TeleportPro發(fā)出請(qǐng)求。

注意：以上兩個(gè)主機(jī)都要求robots.txt這個(gè)檔，其實(shí)這個(gè)檔案是網(wǎng)頁(yè)管理員的工具，作用是防止wget和TeleportPro這類自動(dòng)抓文件軟件對(duì)某些網(wǎng)頁(yè)從事抓取或搜尋的動(dòng)作。如果有人提出robots.txt檔的要求，常常代表是要鏡射整個(gè)網(wǎng)站。但，TeleportPro和wget這兩個(gè)軟件都可以把要求robots.txt這個(gè)文件的功能取消。另一個(gè)偵測(cè)鏡射動(dòng)作的方式，是看看有沒有同一個(gè)客戶端IP反復(fù)提出資源要求。

黑客還可以用網(wǎng)頁(yè)漏洞稽核軟件：Whisker（網(wǎng)址：

），來(lái)偵查網(wǎng)頁(yè)服務(wù)器有沒有安全后門（主要是檢查有沒有cgi-bin程序，這種程序會(huì)讓系統(tǒng)產(chǎn)生安全漏洞）。以下是IIS和Apache網(wǎng)頁(yè)服務(wù)器在執(zhí)行Whisker后產(chǎn)生的部分記錄文件。

IIS：

13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404

13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200

13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404

13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200

13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200

13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404

13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200

13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200

13:17:56 11.1.1.50 HEAD /carbo.dll 404

13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403

13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500

13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500

Apache：

11.1.1. “GET /cfcache.map HTTP/1.0”

11.1.1. “GET /cfide/Administrator/startstop.html HTTP/1.0”

11.1.1. “GET /cfappman/index.cfm HTTP/1.0”

11.1.1. “GET /cgi-bin/ HTTP/1.0”

11.1.1. “GET /cgi-bin/dbmlparser.exe HTTP/1.0”

11.1.1. “HEAD /_vti_inf.html HTTP/1.0”

11.1.1. “HEAD /_vti_pvt/ HTTP/1.0”

11.1.1. “HEAD /cgi-bin/webdist.cgi HTTP/1.0”

11.1.1. “HEAD /cgi-bin/handler HTTP/1.0”

11.1.1. “HEAD /cgi-bin/wrap HTTP/1.0”

11.1.1. “HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0”

大家要偵測(cè)這類攻擊的關(guān)鍵，就在于從單一IP地址發(fā)出大量的404 HTTP狀態(tài)代碼。只要注意到這類信息，就可以分析對(duì)方要求的資源；于是它們就會(huì)拼命要求提供 cgi-bin scripts（Apache 服務(wù)器的 cgi-bin 目錄；IIS服務(wù)器的 scripts目錄）。

小結(jié)

網(wǎng)頁(yè)如果被人探訪過(guò)，總會(huì)在記錄文件留下什么線索。如果網(wǎng)頁(yè)管理員警覺性夠高，應(yīng)該會(huì)把分析記錄文件作為追查線索，并且在檢查后發(fā)現(xiàn)網(wǎng)站真的有漏洞時(shí)，就能預(yù)測(cè)會(huì)有黑客攻擊網(wǎng)站。

接下來(lái)我要向大家示范兩種常見的網(wǎng)頁(yè)服務(wù)器攻擊方式，分析服務(wù)器在受到攻擊后黑客在記錄文件中痕跡。

（1）MDAC攻擊

MDAC攻擊法可以讓網(wǎng)頁(yè)的客戶端在IIS網(wǎng)頁(yè)服務(wù)器上執(zhí)行命令。如果有人開始攻擊IIS服務(wù)器，記錄文件就會(huì)記下客戶端曾經(jīng)呼叫msadcs.dll文檔：

17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200

17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200

（2）利用原始碼漏洞

第二種攻擊方式也很普遍，就是會(huì)影響ASP和Java網(wǎng)頁(yè)的暴露原始碼漏洞。最晚被發(fā)現(xiàn)的安全漏洞是 +.htr 臭蟲，這個(gè)bug會(huì)顯示ASP原始碼。 如果有人利用這個(gè)漏洞攻擊，就會(huì)在IIS的記錄文件里面留下這些線索：

17:50:13 11.1.2.80 GET /default.asp+.htr 200

網(wǎng)頁(yè)常會(huì)只讓有權(quán)限的使用者進(jìn)入。接下來(lái)我們要讓各位看 Apache的access_log記錄文件會(huì)在登錄失敗時(shí)留下什么線索：

12.1.2.8 – user “GET /private/ HTTP/1.0”

注：第三欄里面的使用者名稱是「user」。還有要注意HTTP的狀態(tài)代號(hào)是401，代表非法存取。

希望對(duì)你能有所幫助。

攻擊分很多種類型.但平時(shí)最常見的是DDOS.CC以及ARP攻擊.

DDOS是利用帶寬直接堵塞你網(wǎng)絡(luò)的一種較為極端的攻擊方式.所以他的防御必須依靠硬件防火墻.也就是說(shuō)防御這種攻擊.需要你租用帶有硬防的服務(wù)器才可以.硬防越高.防御能力也就越強(qiáng)宏此.

CC是一種利用肉雞模仿用戶大量訪問你網(wǎng)站.從而占用你IIS的一種攻擊方式.如果規(guī)模較小.可以通過(guò)重啟服務(wù)器的方式解決.如果攻擊量較大.需要做一些安全策略來(lái)過(guò)濾偽裝用戶的肉雞.甚至可以通過(guò)輸入驗(yàn)證碼的方式來(lái)蔽拆迅避免非正常用戶的訪問.這些需要機(jī)房懂技術(shù)的人才可以處理.

ARP是一種局域網(wǎng)攻擊.最直接的方式是在服務(wù)器上安裝ARP防火墻.更有效的方法是御稿綁定MAC.

海騰數(shù)據(jù)楊闖為你解答.希望以上回答對(duì)你有幫助.

服務(wù)器防攻旦昌漏擊了如何做防護(hù)措施？一些常見的服務(wù)器攻擊如木馬病毒等都是可以通過(guò)平常的安全維護(hù)以及防火墻來(lái)防護(hù)，下面就由南昌壹基比為大家講解一下。

（一）網(wǎng)站數(shù)據(jù)定期備份：定期備份網(wǎng)站數(shù)據(jù)可以用來(lái)恢復(fù)被攻擊的網(wǎng)站，即便網(wǎng)站被攻擊或誤操作刪除一些網(wǎng)站信息，可隨時(shí)恢復(fù)。為此網(wǎng)站運(yùn)維，網(wǎng)站備份才是硬道理。

（二）網(wǎng)站程序系統(tǒng)更新：網(wǎng)站程序和服務(wù)器系統(tǒng)定期更新使用的版本、補(bǔ)丁，可消除一些存在的安全漏洞，以防給黑客帶來(lái)可趁之機(jī)。

（三）定期查殺網(wǎng)站病毒：定期查殺網(wǎng)站病毒可以防止黑客的進(jìn)一步破話或竊取網(wǎng)站數(shù)據(jù)，也可以及時(shí)刪除入侵的網(wǎng)站后門漏洞模爛文件。

（四）網(wǎng)站文件權(quán)限設(shè)置：對(duì)網(wǎng)站服務(wù)器文件合理的設(shè)定權(quán)限，比如部分執(zhí)行程序的重要文件應(yīng)當(dāng)取消寫入或執(zhí)行權(quán)限，可避免黑客篡改網(wǎng)站數(shù)據(jù)。

（五）網(wǎng)站域名開啟https數(shù)據(jù)安全傳輸協(xié)議和cdn加速，開啟https和cnd，可以更快的、安全的運(yùn)行網(wǎng)站，可以隱藏自己的網(wǎng)站真實(shí)ip，一定程度上預(yù)防DDoS攻擊、CC攻擊、域名劫持等安全隱患。網(wǎng)站如何防御DDos攻擊和CC攻擊？

（六）可使用高仿服務(wù)器：高仿服務(wù)器具有高性能、高帶寬、高防御的特點(diǎn)，在安全上、運(yùn)行上自身具備一定維護(hù)的基礎(chǔ)后盾，給后期維護(hù)帶來(lái)了不少的方便，但是造價(jià)高昂，客戶應(yīng)當(dāng)根據(jù)自己經(jīng)濟(jì)情況酌情考慮。

（七）定期更新管理密碼：網(wǎng)站密碼可被離職程序員記錄或黑客入侵暴力破解獲取，定期更新網(wǎng)站后臺(tái)密碼和遠(yuǎn)程服務(wù)器登陸密碼可有效預(yù)防數(shù)據(jù)損失。

關(guān)于數(shù)據(jù)庫(kù)攻擊后有記錄嗎的介紹到此就結(jié)束了，不知道你從中找到你需要的信息了嗎 ？如果你還想了解更多這方面的信息，記得收藏關(guān)注本站。

成都創(chuàng)新互聯(lián)科技有限公司，是一家專注于互聯(lián)網(wǎng)、IDC服務(wù)、應(yīng)用軟件開發(fā)、網(wǎng)站建設(shè)推廣的公司，為客戶提供互聯(lián)網(wǎng)基礎(chǔ)服務(wù)！
創(chuàng)新互聯(lián)（www.cdcxhl.com）提供簡(jiǎn)單好用，價(jià)格厚道的香港/美國(guó)云服務(wù)器和獨(dú)立服務(wù)器。創(chuàng)新互聯(lián)成都老牌IDC服務(wù)商，專注四川成都IDC機(jī)房服務(wù)器托管/網(wǎng)站建設(shè)。為您精選優(yōu)質(zhì)idc數(shù)據(jù)中心機(jī)房租用、服務(wù)器托管、機(jī)柜租賃、大帶寬租用，可選線路電信、移動(dòng)、聯(lián)通等。

本文題目：數(shù)據(jù)泄露后是否留下攻擊痕跡？(數(shù)據(jù)庫(kù)攻擊后有記錄嗎)
文章網(wǎng)址：http://www.5511xx.com/article/cdceesj.html