文本内容:
一次疑似的Hacker攻击WEB平安电脑资料中午在吃饭,手机响了,运维告诉我有一台内部系统的server的CPU负载到达了80%,一共两次,每次持续3分钟左右,我让运维先别慌,去server上取Apache的apacheaess.log出来apacheaess.log文件翻开来一看,每次CPU负载狂飙的时候,都密集了出现了以下的恳求,3分钟内到达了4000次以上分析日志可以看到,XX.XX.
201.254的客户端,在[xxx.xxx./admin/image,php]的画面上,发送GET恳求[/api/resizeimage.phpimage=banner/
08071002.pngwidth=320height=100]到我们的server上,第一,我们这台server位于公司防火墙背后,运行的是名为[xxx.xxx./admin/]的公司内部系统这个系统的域名也是公司内部DNS的域名,因此从外网直接发起攻击可能性不大第二,image.php这个画面上确实有调用[api/resizeimage.php]的接口,但是如此频繁的访问,绝对不可能是正常的画面操作第三,api/resizeimage.php的代码的作用是将客户上传到server硬盘上的image文件读入内存,然后在CPU中进展计算,生成符合参数要求大小的缩小图,然后作为响应返回回来并且在内存中将缩小图释放掉这么的代码,负载一上去,CPU肯定挂我先把注意力放在client的XX.XX.
201.254上,经过调查,这台效劳器是另一个工程组的一台公用server果然是高手,利用这台公用server作为跳板这台肉鸡上发生的事情和调查还在进展中,汇总之后也想写出来作为补救,我们先修改了resizeimage.php的代码逻辑,其次在Apache前方前置一个软件级别的防火墙,发现屡次频繁同一IP恳求那么禁IPo结论不能以为是内部系统就可以放松系统平安的考量。
个人认证
优秀文档
获得点赞 0
