来自 CC防护 2021-04-07 09:06 的文章

cc攻击防护_怎么防止_防cc cdn

cc攻击防护_怎么防止_防cc cdn

安全事件很少是不相关的。将这些点联系起来可以帮助我们更好地了解网络犯罪的潜在架构和团伙。自从7月初,我们就利用了合法的域名系统和域名系统的记录。这种机制本身并不是什么新鲜事,因为大多数"驾车下载"都是来自合法网站的恶意重定向和作为攻击工具包登录页的入口的旋转url的结果。但这个特殊的例子是独特的,它如何巧妙地使用相同的基于Flash的重定向脚本,这也允许我们将类似的网站妥协捆绑在一起。在这篇文章中,我们将展示这场运动是如何运作的,并为可能受到影响的网站所有者提供折衷的指标。概述黑客网站 数以千计的网站遭到黑客攻击,并在其所有者不知情的情况下进行恶意重定向。以下是一些示例:网址:hxxp://a7lasura.com/网址:hxxp://alfajrhajj.com/hxxp://allforkids.tv/hxxp://www.aguisa.fr/http://www.angelforum.at/hxxp://www.kasianova.pl/网址:hxxp://www.krawallbrueder.com/http://www.moviemug.com/hxxp://www.panelreklamowy.pl/hxxp://www.peoplesoftonline.com/hxxp://www.stat.cmu.edu/hxxp://www.tativesleepeideas.net/网址:hxxp://www.televisiontunes.com/hxxp://www.utapotlassport.hu/hxxp://www.valentiaansland.ie/网址:hxxp://www.venafo.info/网址:hxxp://www.videoklipove.com/...卡内基梅隆大学统计系()正好是其中之一。为了说明这场战役,我们将详细研究这场战役。使用Sucuri提供的免费网站扫描程序,我们注意到服务器运行的是过时版本的Apache(2.2.15),该版本存在多个漏洞。我们还注意到,该网站是建立在Drupal内容管理系统(CMS)上的,该系统最近遭受了一个严重的SQL注入漏洞,已经在野外被利用。当然,也可能有其他因素导致一个网站被黑客攻击,例如:糟糕的密码,不安全的文件权限,等等。由于无法访问网站本身,我们只能看到面向外部的症状,在本例中,防御ddos的手段有哪些,这是一段恶意代码,插入到主页面源代码的最底部,并且恰好是此特定操作的签名:这只是一个Flash应用程序的代码,它被嵌入到页面中,用特定的参数使它肉眼看不见。"name"变量"EITest"似乎在所有受损站点中静态使用。该代码非常嘈杂(一行iframe就足够了),并且应该根据其恒定的格式和位置很容易发现。但是,每次访问站点时只注入一次(IP地址记录)。如果您再次访问该页,物理服务器防御ddos,则得到此(请注意在代码被注入的脚本和体标签之间的空白行空间):这可能使网站所有者很难识别,因为他们自己的IP地址很可能已经被标记。子域和DNS魔法 我们感兴趣的一个部分(这就是为什么它会发出一个标志)是那个Flash应用程序的源URL。它是上的子域。美国事实上,这个URL是动态的,并且变化非常频繁。以下是我们记录的几个候选名单:网址:hxxp://pole.us.to/网址:hxxp://popo.us.to/网址:hxxp://pops.us.to/网址:hxxp://pum.us.to/网址:hxxp://retr.us.to/hxxp://server71.us.to/网址:hxxp://sflv.us.to/网址:hxxp://site7.us.to/网址:hxxp://tda.us.to/网址:hxxp://tubes.us.to/网址:hxxp://uilo.us.to/网址:hxxp://ulmi.us.to/...那么到底是什么呢美国? 它是一个网址缩写:使用了tonic域名注册中心:免费的DNS服务由恐惧网站.有许多恶意软件报告涉及恐惧网站就像其他免费DNS服务一样,坏人经常(ab)使用它们。这样的服务允许任何人注册子域,因此可以构建一个可以轻松使用和丢弃的大型url池。有趣的是,在最近的一篇文章中,SWITCH Security博客概述了这个问题:"默认的、免费的、注册域时的设置是公共的"和"创建指向完全无关的子域很容易"。图片由Robtex提供美国是最受欢迎的域名之一,拥有131167个主机:值得注意的是英国至(可能是一个远房亲戚)也在这里列出,在我们的日志中,我们发现从2014年3月到2014年7月初,在这个域上我们发现了类似的恶意活动,也就是在这个时候我们开始检测到美国.记录在案的是,在这场运动中还有其他域名被滥用。很多都有外来的顶级域名(.ml,.ga等)恶意子域(我们的目的地)位于148.251.56.156上,该IP地址位于德国24940自治系统(Hetzner Online AG)上。如果你在这里查看他们的报告,内网ddos怎么防御,VirusTotal还会给你这个IP的每日变化。 恶意闪存文件所有被黑客攻击的网站中嵌入的流氓代码都很相似,指向一个Flash文件(MD5:f738a21fb3f8314bab49cbf4c57ac1fe)。要搞清楚它的作案手法,我们需要对它进行动态或静态的分析。不幸的是,动力学分析没有提供任何具体的结果,所以我们选择了静态分析。在Adobe的SWF Investigator中加载Flash文件会显示一些有趣的地方,比如调用ExternalInterface将JavaScript代码执行到加载Flash文件的页面中:但总的来说,杭州ddos防御,这个文件仍然有点神秘,cc攻击的原理和防御方式,主要是因为它相当模糊,难以阅读。下一步将包括将SWF反编译为我们可以使用的纯动作脚本代码:此操作脚本代码的最后一部分相当模糊:FlashVars变量css和id(来自CMU站点的原始嵌入代码)被传递到ActionScript代码。首先,我们需要弄清楚解密程序(特别感谢ClarityAd的Jerome Dangu的帮助),如下所示,这样我们就可以最终看到该文件的用途。var arg1="gxcn";var loc1=""var loc2=0;var m=2;而(loc2