要掌握Web服務(wù)器的故障診斷，我們首先需要非常熟悉Web服務(wù)器的構(gòu)架模式。對(duì)Web應(yīng)用的運(yùn)行環(huán)境、Web服務(wù)器上運(yùn)行的服務(wù)器軟件和啟用的服務(wù)也要有較全面的認(rèn)識(shí)。對(duì)Web服務(wù)器的充分了解，將非常有助于我們對(duì)Web服務(wù)器故障類型的準(zhǔn)確判斷，進(jìn)而以各種診斷工具為手段，快速的找到故障點(diǎn)，分析故障原因，徹底排除故障，恢復(fù)Web服務(wù)器的正常運(yùn)行。本文以當(dāng)前普遍使用的Web服務(wù)器配置環(huán)境：Windows Server 2003+IIS6.0+ACCESS2003+ASP3.0為依據(jù)，對(duì)WEB服務(wù)器故障的排除展開(kāi)分析和討論。

　　摘 要：伴隨著互聯(lián)網(wǎng)的迅速發(fā)展和普及，網(wǎng)站已成為各企事業(yè)單位的一個(gè)重要窗口。Web服務(wù)器作為網(wǎng)站最主要的載體，其能否正常穩(wěn)定的運(yùn)行，將直接關(guān)系到用戶的經(jīng)濟(jì)效益、工作效率和品牌形象。如何預(yù)防Web服務(wù)器故障的發(fā)生和學(xué)會(huì)怎樣排查、處理Web服務(wù)器故障是當(dāng)前亟需解決的一個(gè)課題。本文將對(duì)Web服務(wù)器故障進(jìn)行分類、判斷和排除方法進(jìn)行探討，為高效解決Web服務(wù)器故障現(xiàn)象提供一套行之有效的排查和解決方案。

　　關(guān)鍵詞：中級(jí)工程師論文,Web服務(wù)器,SQL注入漏洞,ASP木馬,故障排查

　　1 WEB服務(wù)器故障的排除

　　1.1 WEB服務(wù)器故障診斷的一般步驟

　　對(duì)于WEB服務(wù)器故障的診斷，我們一般按下述六個(gè)步驟進(jìn)行：

　　步驟一：根據(jù)觀察故障現(xiàn)象，判斷故障所屬類型。從故障的具體表現(xiàn)，判斷出發(fā)生故障的可能對(duì)象：主機(jī)設(shè)備、操作系統(tǒng)、Web服務(wù)和Web站點(diǎn)等。例如，開(kāi)機(jī)無(wú)顯示，在大的方向上可確定為主機(jī)故障，而且是主機(jī)硬件設(shè)備故障。

　　步驟二：確定故障類型，具體分析可能產(chǎn)生故障的原因。比如，Web站點(diǎn)訪問(wèn)失敗，如果確定故障類型是Web服務(wù)故障，排除了主機(jī)故障和Web站點(diǎn)故障，那么引發(fā)此類故障的可能原因就是IIS的配置問(wèn)題、SQL Server的配置問(wèn)題或DNS的配置問(wèn)題等。

　　步驟三：收集與故障相關(guān)聯(lián)的有用信息。通過(guò)系統(tǒng)的事件查看器、網(wǎng)站日志文件、相關(guān)診斷命令(ICMP的ping、tracert命令)或故障診斷工具的診斷信息和日常維護(hù)管理記錄等方面收集對(duì)故障診斷有用的信息。

　　步驟四：具體分析收集到的相關(guān)信息，通過(guò)比較、排查并確定引發(fā)故障的最可能原因。比如，對(duì)于WEB服務(wù)的故障，如果根據(jù)分析相關(guān)診斷信息后可以排除是數(shù)據(jù)庫(kù)或DNS引發(fā)的問(wèn)題，就必須把重點(diǎn)放在檢查IIS的配置上。

　　步驟五：針對(duì)最可能引發(fā)故障的原因，建立科學(xué)的診斷計(jì)劃。從故障現(xiàn)象入手，以診斷計(jì)劃為手段，理清診斷計(jì)劃的具體要求、技術(shù)措施和診斷的方法途徑等，找出引發(fā)故障的真正原因。

　　步驟六：實(shí)施診斷計(jì)劃，排除故障。在實(shí)施計(jì)劃時(shí)要認(rèn)真做好每一步測(cè)試，記錄每一個(gè)參數(shù)變化，觀察每一次測(cè)試結(jié)果。再通過(guò)具體分析每一步的測(cè)試結(jié)果，確定問(wèn)題是否解決，如果沒(méi)有解決，繼續(xù)測(cè)試，直到故障現(xiàn)象消失。

　　1.2 故障排除案例分析

　　2009年12月18日學(xué)校網(wǎng)站某頁(yè)面信息被惡意篡改，而其它頁(yè)面及網(wǎng)站功能一切正常。WEB服務(wù)器的配置環(huán)境：Windows Server 2003 Enterprise+IIS6.0 +Access+ASP。

　　故障現(xiàn)象：網(wǎng)站上某領(lǐng)導(dǎo)的簡(jiǎn)介頁(yè)面信息被篡改，其中領(lǐng)導(dǎo)頭像也被調(diào)換。

　　故障分析與處理：

　　(1)根據(jù)具體故障現(xiàn)象，初步判斷是Web站點(diǎn)故障，網(wǎng)站受到了網(wǎng)絡(luò)攻擊。

　　(2)懷疑系統(tǒng)沒(méi)及時(shí)更新，黑客通過(guò)系統(tǒng)漏洞入侵。于是登錄WEB服務(wù)器，通過(guò)掃描工具檢測(cè)WEB服務(wù)器有沒(méi)有存在未修復(fù)的漏洞。檢查后沒(méi)有發(fā)現(xiàn)什么問(wèn)題，系統(tǒng)為最新版本，也沒(méi)有發(fā)現(xiàn)有需要更新的系統(tǒng)或軟件漏洞，于是繼續(xù)查找故障原因。

　　(3)懷疑黑客利用網(wǎng)頁(yè)上傳后門(mén)向服務(wù)器上傳ASP腳本木馬。于是仔細(xì)排查網(wǎng)頁(yè)上傳后門(mén)漏洞。

　　1)首先檢查學(xué)校網(wǎng)站后臺(tái)的附件上傳功能頁(yè)面，可是后臺(tái)管理頁(yè)面中，只有eWebEditor編輯器有文件上傳功能，會(huì)不會(huì)是eWebEditor的上傳組件存在漏洞?查看“Upload.asp”和“Admin_UploadFile.asp”，果然，這兩個(gè)上傳文件頁(yè)面都沒(méi)有作任何限制。

　　2)eWebEditor編輯器的上傳后門(mén)即然可能被非法調(diào)用，那么服務(wù)器的上傳目錄上就很可能被黑客上傳了木馬。于是檢查網(wǎng)站的 “uploadfile”目錄，果然發(fā)現(xiàn)了三個(gè)常見(jiàn)的ASP木馬文件：DIY.ASP、ROOT.ASP和SAM.ASP。黑客很可能是利用ASP木馬生成器來(lái)生成ASP木馬文件，然后利用“桂林老兵”或“明小子旁注工具”等木馬上傳工具將ASP木馬上傳上來(lái)的。

　　3)忽然想到在建站時(shí)已經(jīng)對(duì) IIS目錄權(quán)限做過(guò)優(yōu)化，檢查核實(shí)文件上傳目錄的IIS權(quán)限的確只有讀取權(quán)限，同時(shí)執(zhí)行權(quán)限設(shè)為“無(wú)”，這樣即使網(wǎng)站上傳目錄被上傳了ASP、exe等木馬，也是無(wú)法執(zhí)行的。而且，為了防止基于各種常用ASP組件的木馬攻擊，當(dāng)時(shí)還對(duì)Wscript.Shell、Shell.Application和 FileSystemObject等常用組件通過(guò)修改注冊(cè)表，將此類組件改名，來(lái)防止ASP木馬的危害。這是否說(shuō)明黑客雖然將ASP木馬傳上了服務(wù)器，但是卻無(wú)法使用，并未對(duì)網(wǎng)站和系統(tǒng)造成什么危害，也不是這次故障的主要原因。

　　4)為了證實(shí)自己的判斷，首先對(duì)服務(wù)器系統(tǒng)進(jìn)行了全面的檢查，系統(tǒng)管理帳戶沒(méi)有被增加、修改和提權(quán)的痕跡;再仔細(xì)檢查系統(tǒng)的事件查看器，也沒(méi)有發(fā)現(xiàn)非常登錄的記錄;最后，利用“淘特ASP木馬掃描器”對(duì)全站進(jìn)行掃描，檢查除文件上傳目錄之外，攻擊者有沒(méi)有在網(wǎng)站服務(wù)器的其它目錄下留下后門(mén)，掃描結(jié)果如下圖1所示，沒(méi)有發(fā)現(xiàn)新的ASP木馬。

　　圖1 ASP木馬掃描結(jié)果

　　通過(guò)上述的排查和分析，說(shuō)明故障原因也并非是網(wǎng)頁(yè)上傳后門(mén)被非法利用所致，于是繼續(xù)查找故障原因。 　　(4)懷疑是網(wǎng)站的其它漏洞導(dǎo)致這次的黑客入侵，于是開(kāi)始檢查數(shù)據(jù)庫(kù)記錄和WEB日志記錄。確認(rèn)網(wǎng)頁(yè)是什么時(shí)候被篡改的，是哪個(gè)帳戶執(zhí)行的?帶著疑問(wèn)開(kāi)始仔細(xì)查找網(wǎng)站的其它漏洞。

　　1)打開(kāi)WEB數(shù)據(jù)庫(kù)，找到被篡改的的記錄，如下圖2，修改者和審核者都是原合法管理員“admin”，修改時(shí)間也被攻擊者改成原時(shí)間。這說(shuō)明黑客是通過(guò)網(wǎng)站漏洞成功破解了網(wǎng)站的管理員帳號(hào)和密碼，并利用該帳號(hào)對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行篡改的。

　　圖2 檢查數(shù)據(jù)庫(kù)

　　2)網(wǎng)頁(yè)是什么時(shí)候被篡改的呢?帶著疑問(wèn)突然想到被篡改的網(wǎng)頁(yè)中領(lǐng)導(dǎo)的頭像也被調(diào)換了，而eWebEditor編輯器在上傳文件時(shí)，會(huì)在原文件名的前面加上當(dāng)前的系統(tǒng)日期和時(shí)間作為上傳后的文件名。于是立即找到新的頭像圖片，查看文件名是：“20091218985420073384221536.jpg”，說(shuō)明網(wǎng)頁(yè)是在2009年12月18日被篡改的。

　　3)仔細(xì)查看2009年12月18日的WEB日志文件，突然看到如下圖3所示的日志記錄：

　　圖3 WEB日志文件

　　說(shuō)明黑客利用注入漏洞掃描器在學(xué)校網(wǎng)站中尋找SQL注入漏洞。再往下看發(fā)現(xiàn)黑客找到有SQL注入漏洞的鏈接，并開(kāi)始利用注入工具進(jìn)行數(shù)據(jù)表名的猜解，如下圖4所示：

　　圖4 WEB日志文件

　　再往下看，注入工具依次破解了數(shù)據(jù)表的字段名、帳號(hào)和密碼。如下圖5為成功猜解數(shù)據(jù)表“users”中含有列名為“name”的字段;圖6則表示成功猜解出數(shù)據(jù)表“users”中第一個(gè)帳戶的首字母為ASCII碼值為97所對(duì)應(yīng)的字符，即小寫(xiě)字母“a”。

　　圖5 WEB日志文件

　　圖6 WEB日志文件

　　回放黑客的整個(gè)攻擊過(guò)程，從黑客發(fā)現(xiàn)SQL注入漏洞鏈接開(kāi)始，僅僅用了5分鐘左右的時(shí)間就拿到了整個(gè)網(wǎng)站的所有帳戶信息。這足見(jiàn)SQL注入漏洞的嚴(yán)重后果以及注入工具的功能強(qiáng)大。為了證實(shí)SQL注入漏洞就是本次的故障原因。我自己又在本機(jī)做了一下測(cè)試，我用“穿山甲注入工具”對(duì)學(xué)校站點(diǎn)進(jìn)行了一次注入測(cè)試，測(cè)試結(jié)果如下圖7所示。事實(shí)再一次驗(yàn)證了這一次網(wǎng)絡(luò)攻擊的故障原因是：學(xué)校網(wǎng)站存在SQL注入漏洞。

　　圖7 穿山甲注入工具

　　(5)修補(bǔ)SQL注入漏洞，清除ASP木馬，還原網(wǎng)頁(yè)信息，排除故障。修補(bǔ)網(wǎng)站的SQL注入漏洞其實(shí)很簡(jiǎn)單：可以通過(guò)調(diào)用字符過(guò)濾函數(shù)，對(duì)所有用戶的輸入進(jìn)行了判定和過(guò)濾，比如對(duì)newsid的值過(guò)濾，只需將字符串：newsid=request("newsid")改成：newsid=checkstr(request("newsid"))即可。也可以通過(guò)使用UrlScan過(guò)濾非法URL的訪問(wèn)。

　　2 結(jié)束語(yǔ)

　　網(wǎng)站在各行各業(yè)中的應(yīng)用越來(lái)普及，在各行各業(yè)中所發(fā)揮的作用也越來(lái)越重要，如何保障我們的WEB服務(wù)長(zhǎng)期、穩(wěn)定、安全、快速的運(yùn)行是每一位網(wǎng)站管理員所要面對(duì)的重要課題。

　　對(duì)于服務(wù)公眾的WEB服務(wù)器，發(fā)生故障在所難免，作為網(wǎng)站管理員，我們隨時(shí)都有可能遇到各種各樣的網(wǎng)絡(luò)故障。學(xué)會(huì)快速排除常見(jiàn)故障，熟悉故障診斷流程，是我們必須要掌握的技能。同時(shí)，我們更應(yīng)該要注意充分利用現(xiàn)有資源，采取各種有效措施消除各種故障隱患，減少故障發(fā)生的機(jī)會(huì)，更要避免各種嚴(yán)重問(wèn)題的出現(xiàn)。一定要重視在Web服務(wù)器故障發(fā)生之前能夠做好充分的服務(wù)器安全措施;在Web服務(wù)器發(fā)生故障之后也能迅速拿出一套行之有效的診斷計(jì)劃，快速找出問(wèn)題之所在并給予解決。

　　參考文獻(xiàn)：

　　[1]Allan Liska.網(wǎng)絡(luò)安全實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2004.

　　[2]周峰，徐曉軍，李德路.ASP開(kāi)發(fā)技術(shù)原理與實(shí)踐教程[M].北京：電子工業(yè)出版社，2007.

　　[3]劉宗田，劉瑩.Web站點(diǎn)安全與防火墻技術(shù)[M].北京：機(jī)械工業(yè)出版社，1998.

　　[4]周亞建，鄭康鋒，楊義先.網(wǎng)絡(luò)安全加固技術(shù)[M].北京：電子工業(yè)出版社，2007.

---

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/jisuanjiyingyonglw/43456.html