情况
我在IIS服务器日志中遇到了一些非常可疑的PUT和GET请求。在谷歌搜索请求者地址后,我找到了将知识产权链接到已知黑客团队的信息。在每个PUT之后,对于尝试上传到我的服务器的相同资源,立即进行GET。
问题1: 这会被视为远程代码执行攻击吗?
我完成的其他测试:
IIS日志显示为PUT请求提供的响应是412'无效的文件类型所有文件都没有上传'
我已启用“失败请求跟踪”并尝试使用CURL上传文本文件,这与我提供的响应相同,但无法上传文件。
问题2: 我该怎么做才能帮助防止这类攻击成功?
我可以打开IIS请求过滤,但我担心如果我拒绝PUT,我的IIS应用程序可能会对任何未来的Web服务产生负面影响。
答案 0 :(得分:0)
问题1:这会被视为远程代码执行攻击吗?
无法根据给出的信息确定攻击者的意图。他们可能希望获得代码执行,或者他们可能只是满足于将自己的内容上传到您的服务器以供您托管,或尝试用您的内容破坏您的网站。
问题2:如何帮助防止这类攻击成功?
服务器配置和修补。我能给你的最好建议是减少攻击面 - 只启用你需要的功能。如果您未在应用程序中使用PUT,请将其禁用。只有在需要时才重新启用它。确保安装了最新的操作系统更新。
安全是一个广泛的主题。在开发应用程序之后,您需要从安全代码到严格安全测试之后的所有内容。