1.现象描述
如果同一源IP地址短时间内产生了大量的CGI访问事件使用恶意的参数提交访问,造成可能的信息泄漏、拒绝服务等危害产生,则表明源IP地址可能存在安全扫描行为;
如果某源IP地址对网络进行安全扫描的行为是授权的,可以判定该事件不存在安全威胁,除扫描外网管工具也可产生类似效果,但是,如果存在此类扫描而且未经搜全,那么该行为被认为存在安全威胁。
2.攻击成因
采用形式
攻击者会试图访问IIS的文件来攻击目的IP地址主机,通过提交恶意参数访问,造成信息泄漏和产生拒绝服务等危害。
攻击办法
攻击者利用微软的Index Server的Webhits.dll漏洞可以读取系统源码或其它系统文件内容。受到此漏洞影响包含敏感信息,用户ID,密码、数据源等信息的ASP页面源代码或关键文件会被攻击者非法获取并取得机密信息。
3.解决办法
事件发现:
通过对Web站点服务器访问日志和安全日志查询,以及,防火墙安全和访问日志,查询是否存在非法源IP针对微软Indexer漏洞所作的获取信息操作,确定是否有攻击事件发生;
处理办法:
检查Web站点对应服务器是否存在Webhits.dll漏洞和有无对应系统补丁;
针对非法攻击源,在防火墙上配置安全访问规则,过滤针对源IP地址访问报文;
使用Web应用安全防护工具或产品,针对该漏洞对应的CVE事件进行安全防护。
