网站流量被劫持,说实话以前只是一个简单概念,现在真切能感受到。客户端发来的请求被劫持后进行篡改再次发出,进而导致一些问题。在绿盟科技人员的参与下,很快有了一些结论。
排查第一步:确认是否有规律
经过大量测试发现,确实有一定的规律,会在系统请求网址根目录下增加一个8位字符串,具体表现是:http://IP:7007/ffff8b57 ,这八位字符串前四位是固定的,后四位则是随机变化的。
排查第二步:确定代码是否有问题
把正式生产环境中的系统安装包全部拷贝到新服务器上(同样的配置及操作系统),在同样版本IIS下部署后,进行了1000次访问操作模拟,借助谷歌浏览器的网络记录功能,详细记录每次请求及服务器响应情况。经过实际测试后发现新服务器上没有问题。同理排除了代码的问题;
排查第三步:电脑病毒(木马)排查
在服务器上安装了安全狗、火绒后,进行了全面扫描,因为文件比较多,持续时间都分别超过了2小时,经过扫描发现了php.webshell病毒及一个宏病毒,感染了1200多个文件。但是经过核查,这些病毒对请求地址没有篡改的能力,故暂且放弃处理。
排查第四步:网络问题排查
这块分了两块,在服务器本机上访问系统,经过近2000余次的访问请求测试,没有任何异常。但是一旦跨网段(由192.27.89段访问服务器192.27.88段)就又会出现地址呗篡改现象。
通过以上四个步骤,基本就确认了是网络这块得问题,排除代码和病毒的问题后,其网络问题就只能交给机房网络运维人员处理。 说实话以上四个步骤也是明确责任问题,也是能够清晰向客户领导汇报的内容。每次测试完毕后都会及时留存相应的截图及大概的结论,并与相关人员进行确认。这样反馈给客户的内容是经得起质问,同时也重要是帮助自己能尽快梳理出问题的核心所在。
追加:最后查明是我的系统请求流量被WAF(Web应用防护系统)设备篡改了。学习之路漫漫啊。。。