bhnknu的資訊筆記

上週學校首頁開始出現不正常的狀態。
公布欄的網頁一直出不來。
有時候很快就會出現，不過大部分的時候是好像沒有這個網頁一樣，只出現空白。
過一會兒，出現「伺服器等待逾時」的訊息。
　
幾天下來，覺得不太對勁，趕快檢查 asp 程式是不是被寫入快東西了。
看看幾個程式，好像都沒有什麼異常。
再檢查伺服器是不是中毒了？
看了一下，好像也沒有。
　
那是什麼原因呢？
在 dos 下用 netstat -na 去看連線狀態。
Oh My God！有兩三個 ip 發出幾十個連線。
再仔細觀察，這些 ip 幾分鐘就會換一次……
那沒什麼好說的，就是被攻擊了。
　
那，有什麼辦法處理呢？
一種可能是電腦被入侵，被當跳板來攻擊。
也有可能是蓄意攻擊。
　
先假設校內電腦被當跳板吧。
星期一開始清查校內電腦。
一個下午找了二十幾台。
除了改了幾台群組、名稱不正確的電腦，外加順便幫中毒的電腦解毒外，沒什麼收獲。
沒收獲之外，還很累……
這種玩法沒有效率，還有一堆教師個人電腦，怎麼找？
　
後來換成用斷線的方式來找。
這是比較有效率的方法，如果是校內打的，幾分鐘就可以找出來。
只是很遺憾，還是沒能找出有問題的電腦。
　
眼看校慶就要到了，如果這兩天公佈欄還不能用，事情就大條了。
老大趕緊往外求援。
人紅就是有這個好處，請到了宏明老師、志堅老師來幫忙看看。
在這裏也特別感謝兩位老師的協助。
　
宏明老師幫我們處理 iprule。
他限制了一秒五個連線數。
一開始有顯著的效果，不過幾分鐘後狀況又回來了。
宏明老師的方法沒有錯。
不過這次的狀況並不是完全是 dos 的攻擊 ，嚴格說它並不是這類的攻擊。
所以看來還是得另找處理的方式。
　
志堅老師是看 log 檔。
一開始是用鎖 ip 的方式，因為好像之前志堅老師的學校也遇到類似的狀況。
但是對方 ip 一直換，所以是鎖不完的。
後來看 log 檔，發現在某個 asp 程式的連線，會有 delay 的狀況。
再仔細看，咦？對方好像就是一直在連這個程式！而且好像在丟東西進來。
趕緊把這個程式移掉 (asp 加 mdb)，這樣對方就連不到了。
暫時解決這個問題了。
　
後來老大看看，咦，程式不是移除了？怎麼公佈欄還有問題？
原來程式雖然移除了，不過對方還是一直丟東西到那個網址？
只好把整個資料夾移掉，才把問題解決。
　
這次的事件告訴我們。
網路上的 asp 程式在使用的時候要特別小心。
可以的話，最好檔案名稱 (asp 和 mdb) 要改掉。
不然使用相同程式的人，直接打 mdb 的名稱，就可以把它下載下來了。
另外太早期的程式還是少用為妙。
有可能那時寫出來的東西是有缺陷的。
寫的人後來也沒有再維護或出新版。
有心人如果找出漏洞，就可以取得資料或是癱瘓伺服器。