奶锅厂家
免费服务热线

Free service

hotline

010-00000000
奶锅厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

俄罗斯黑产单搞中国只因内地ASP网站多

发布时间:2020-02-12 20:13:50 阅读: 来源:奶锅厂家

ASP是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具,与微软SQL Server搭配可发挥最佳效果。鼎盛时期几乎成为国内网站开发的标准,后来渐渐被JSP和PHP、ASPX所替代。

国内云WAF提供商加速乐团队最近监测到一个来自俄罗斯IP(91.220.131.34)的攻击,经分析:此IP只对中国的网站发起SQL Server数据库的注入攻击。与大多攻击不同的是,此IP的攻击较直接、且带破坏性,被攻击的网站没有任何关联性,但这些网站共同的特点是,它们都是用ASP和ASPX语言开发的,初步估计,选择攻击中国的网站是由于国内仍有不少网站使用ASP技术,而ASP在国外目前已经基本上不流行。

此IP提交的攻击恶意代码如下:

使用的User-Agent是:

Mozilla/5.0|(Windows;|U;|Windows|NT|5.2;|en-US)|AppleWebKit/534.17|(KHTML,|like|Gecko)|Chrome/11.0.652.0|Safari/534.17

虽然User-Agent是自定义的,但根据“en-US”字样可以估计是攻击来源是国外。

对攻击恶意代码内容解密并整理后,如下:

这段攻击代码是针对SQL Server数据库的,如果网站有漏洞,该代码就会执行,并会替换数据库中数据。从Update语句中,看到有两个网址,分别是corypaydayloans.com和maxxpaydayloans.com,目前这两个网址均无法正常访问。

将corypaydayloans.com、maxxpaydayloans.com作为关键字在搜索引擎中搜索,结果分别如下图:

从搜索结果中可以看到,有不少中国的网站已经受到攻击(暂时没有找到受到攻击的国外站点),且内容被替换成这两个域名了,不过大部分网站已经得到了修复,但还有少数存在漏洞的站点仍受到攻击,在这些受到攻击的站点中,还发现部分网站的内容被替换成另外一个域名:willpaydayloans.com。比如这个受攻击的页面:

http://wap.lnd.com.cn/readnews.aspx?newsid=12430&pages=1&fid=7

maxxpaydayloans.com、corypaydayloans.com和willpaydayloans.com除了在域名字面上有相似部分,通过whois查询,也发现这三个域名属于同一个人,分别在2013年3月5日、2013年3月9日和2013年3月17日注册。三个域名的注册信息相同部分如下:

从上面的域名信息中我们可以知道,注册人填写的国家是捷克,城市是帕尔杜比采,电话是420.226517351,管理员邮箱是

willpaydayloans.com@fablovkawhoisprotection.com

这个三个域名中,只有最新注册的willpaydayloans.com可以正常访问,看网站内容应该是一个贷款的网站:

由于攻击来源IP:91.220.131.34开放了80端口,并可以直接在浏览器中访问http://91.220.131.34,内容和willpaydayloans.com是一样的,由此可以确定攻击者就是willpaydayloans.com这个网站。

微软官方早在2005年就开始建议使用ASP技术的客户升级到ASP.net(ASPX),而面向ASP的支持也将逐渐停止。因此,加速乐提醒广大站长,如果没有特殊情况,请尽量使用业界支持度较好的Web开发语言,并及时采用Web应用防火墙和Web安全预警系统。这样才能保持其Web应用的安全和健壮。

关于加速乐及知道创宇:

“加速乐”(http://www.jiasule.com)加速乐网站加速及网站安全保护系统为网站供一站式的加速、安全解决方案,网站在“零部署”、“零维护”的情况下,极大提高网站访问速度,防止诸如XSS、SQL注入、木马、零日攻击、僵尸网络等各种网站安全问题。同时,加速乐综合采用跨运营商智能调度、页面优化、页面缓存等技术,进一步提升访问速度,降低 故障率,从而整体提升网站的用户体验。“知道创宇” (http://www.knownsec.com) 全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代 Web安全解决方案。

中山注册公司需要什么资料

深圳注册公司条件

广州注册公司企业