设为首页   锐捷官网
用其他帐号登录:
查看: 1972|回复: 0

[安全] 部署WG后用户网站仍然被入侵、攻击、挂马及FAQ

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-4-24 11:42:59 | 显示全部楼层 |阅读模式
1、故障现象

部署WG后用户网站仍然被入侵、攻击、挂马;

说明:WG能防护来自HTTP、HTTPS的攻击,如出现疑似WG防护功能失效的情况,我们首先验证WG防护功能是否正常,其次需引导用户进行服务器安全性方面的优化和加固。参见:服务器类故障优化方法>>已被挂马服务器与已被植入WEBSHELL服务器修复。


2、故障可能原因

(1)部署模式错误;

(2)非信任口未勾选;

(3)trunk环境下VLAN未添加至ZONE;

(4)服务器安全组配置错误;

(5)URL安全策略配置错误;

(6)测试license异常;

(7)硬盘状态异常;

(8)特征库未更新;


3、故障处理步骤

步骤1:基本排查

首先根据 日志报表类故障>>设备上线后无攻击日志进行基本排查, * WG的防攻击功能正常,且有攻击日志生成。


步骤2:攻击测试

在完成步骤1:基本排查后,再通过附件工具,验证WG防护功能是否正常。


步骤3:检查特征库是否 *

查WEB攻击特征库是否为 * 版本,很多新爆发的挂马漏洞防护都需要特征库的及时更新
7.png
4、故障信息搜集

如果经以上1-3个步骤排查后故障无法解决,请将根据步骤1-3检查配置打包压缩,同时准备好WG设备的远程方式后联系4008-111000协助处理。

·    需要收集的信息:

1)部署拓扑环境;

2)接口配置截图;

3)虚拟局域网配置截图;

4)服务器安全组配置截图;

5)URL安全策略配置截图;

6)许可状态截图;

7)硬盘状态截图;

8)特征库版本信息截图;


5、故障总结

如果特征库、病毒库过期,可以联系400获取离线库文件进行升级;同时告知客户库文件过期的风险,提醒及时购买授权;


FAQ


1、WG日志提示Client IP Blacklist,导致对应的客户端无法访问服务器

这个是因为客户端IP已经被添加到了客户端黑名单。检查配置,是否用户把这个网段的IP配置成了黑名单。


2、RG-WG启用动态攻击黑名单后,能够检测到客户端IP进行攻击行为,无法加到动态攻击黑名单中

目前只有基本攻击特征库中的sql 注入攻击,并且只有当此攻击类型的动作为block时才会加入到动态黑名单中,log only则不会加入到动态黑名单中


3、某客户端 * 可以访问WG保护的WEB服务器,再次访问时无法打开,隔一段时间访问又可以正常打开

1)查看对应的攻击日志:

2011-01-19 09:00:46 210.2.8.1 210.2.8.3 POST http 210.2.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx SQL Injection Post Form block_log

2)从攻击日志可见,客户开启了动态攻击黑名单,但IP对WEB服务器的访问匹配基本特征库中“SQL注入攻击”或“木马攻击”的特征,并且动作包含“block”时自动将该IP添加到动态攻击黑名单。

3)与用户沟通后得知信息:由于该网站应用程序需要使用SQL语句来传递相关信息;所以可以确认该访问网站的该行为是合法的

解决方案:

解决方案一:

将URL:210.2.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx  添加为URL白名单;

该方案 * 了该网站的其它URL的安全防护,但该URL的安全性降低;

解决方案二:

1)新建URL安全策略,该安全策略的基本特征库动作为仅日志或不启用;

2) * 可选操作:启用自定义SQL注入关键字过滤,并配置update,insert, drop,rename等可能对数据库进行修改删除操作的词用为SQL注入禁用词(其它默认关键词不要启用);

3)在相应的服务器安全组里,配置URL安全策略的“例外规则”,在例外规则中,指定对于以下URL路径启用上面新建的URL安全策略:210.2.x.x/emlib4/system/DataSource

该方案 * 了网站所有的URL的安全防护,但如启用SQL自定义关键字,需和用户做好沟通,避免网站可能所用的SQL关键字出现在阻止列表中。


4、RG-WG的http访问日志无内容

1)是否配置了非信任端口。

2)是否开启HTTP访问日志记录功能。

3)是否配置了保护服务器。

4)如果是接在trunk链路上,需要把VLAN加入zone.

5)检查硬盘状态是否正常


5、RG-WG接入后,无法看到HTTP,HTTPS的流量,会话信息

RG-WG产品只统计被防护的WEB服务器的HTTP,HTTPS流量,会话信息,如果没有配置服务器安全组,在管理界面,分类统计里不会显示HTTP,HTTPS的流量,会话信息


6、FTP病毒防护不成功,病毒还是能上传

WG是阻止病毒文件数据包的上传,所以可以看到FTP服务器上有建立病毒文件。但实际他们都是0k字节或者是不完整的。

说明1:WG的FTP病毒防护功能对于单个小于10M的病毒文件有效,实际环境中,一般病毒文件不会大于10M;

说明2:FTP在多文件批量上传时,会出现部分文件非0K的情况,但实际文件也是不完整的。


7、网站管理人员已经更新了网站,但外网用户无法查看到相应的更新

确认WG是否部署的静态网页防篡改功能;如部署此功能,需要手动将服务器 * 文件同步到WG上:
8.png
8、客户端无法访问WEB服务器,攻击日志提示SQL Injection

故障现象:当管理员登陆后台,提交新见面时,出现管理页面无法提交网页,当提交的内容没空格时,则提交成功。而有空格的无法更新网页,在WG日志里显示SQL注入被拦截。经过测试SQL注入的关键字,发现提交的内容是匹配“;”号造成的。 可是用户提交的带有空格的页面有问题。有可能是WG判断不准备或者老师提交的带有“;”号与URL参数组成一条SQL命令造成WG拦截


故障分析:

首先说明下此故障“提交带空格的文章会被识别为SQL的分号关键字”,原因在于:空格是在用户提交前已经被网站发布程序转成了编码形式:" ",其中就包含分号。因此会被SQL自定义关键字拦截。

防SQL注入说明:

SQL注入功能属于自定义的 * 防护功能,只有当用户可以确认在所对应的网页应用中不会使用到其中的关键字,才可以启用功能。正如我们看到的,此故障中分号关键字会被作为正常应用,把这些列为关键字只是因为这些词可能是相应的攻击中经常使用的或者是某种情况下必须用到的,分号在SQL注入中的作用是用来构造比较复杂的复合语句攻击,对于用不到分号的网页请求(绝大多数GET请求),禁止提交分号可以阻止大部分的SQL注入攻击。
* 后说明下:我们并不依赖于自定义的SQL关键字过滤来解决SQL注入攻击问题,只要用户启用了我们的基本攻击特征库,我们就能有效的阻止网络中的SQL注入攻击。对于有条件的网页,启用自定义SQL关键字过滤只是进行一步的预防作用。对于不适合该过滤规则的,可以去掉一些关键字,或者不启用该功能。


9、WG故障排查思路

1)确认故障现象;

如:页面无法打开,某个页面无法提交;收集客户的具体操作步骤,必要的网站代码和日志信息

2)通过日志确认攻击类型、攻击域;

可通过攻击日志确定是攻击类型,确认是WG的哪个防护功能起作用;攻击域是更详细的描述;

3)提供规避方案;

如:添加URL白名单,取消非必要的SQL关键字

4)确认攻击的“真实性”;

如:是WG防护过于严格影响了正常业务,还是真的遭受到攻击;

5)提供解决方案:优化WG的配置

如:减少非必要的SQL关键字,添加网址到安全域等




回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则