网站流量被劫持排查

            网站流量被劫持,说实话以前只是一个简单概念,现在真切能感受到。客户端发来的请求被劫持后进行篡改再次发出,进而导致一些问题。在绿盟科技人员的参与下,很快有了一些结论。

            排查第一步:确认是否有规律

            经过大量测试发现,确实有一定的规律,会在系统请求网址根目录下增加一个8位字符串,具体表现是:http://IP:7007/ffff8b57  ,这八位字符串前四位是固定的,后四位则是随机变化的。

           排查第二步:确定代码是否有问题

           把正式生产环境中的系统安装包全部拷贝到新服务器上(同样的配置及操作系统),在同样版本IIS下部署后,进行了1000次访问操作模拟,借助谷歌浏览器的网络记录功能,详细记录每次请求及服务器响应情况。经过实际测试后发现新服务器上没有问题。同理排除了代码的问题;

           排查第三步:电脑病毒(木马)排查

           在服务器上安装了安全狗、火绒后,进行了全面扫描,因为文件比较多,持续时间都分别超过了2小时,经过扫描发现了php.webshell病毒及一个宏病毒,感染了1200多个文件。但是经过核查,这些病毒对请求地址没有篡改的能力,故暂且放弃处理。

   排查第四步:网络问题排查

           这块分了两块,在服务器本机*问系统,经过近2000余次的访问请求测试,没有任何异常。但是一旦跨网段(由192.27.89段访问服务器192.27.88段)就又会出现地址呗篡改现象。

          通过以上四个步骤,基本就确认了是网络这块得问题,排除代码和病毒的问题后,其网络问题就只能交给机房网络运维人员处理。 说实话以上四个步骤也是明确责任问题,也是能够清晰向客户领导汇报的内容。每次测试完毕后都会及时留存相应的截图及大概的结论,并与相关人员进行确认。这样反馈给客户的内容是经得起质问,同时也重要是帮助自己能尽快梳理出问题的核心所在。

网站流量被劫持排查

上一篇:Appium 1.9.1 启动报错 Fatal TypeError: Class constructor BaseDriver cannot be invoked without 'new'


下一篇:附022.Kubernetes_v1.18.3高可用部署架构一