中级工程师论文WEB服务器故障的排除

　　要掌握Web服务器的故障诊断，我们首先需要非常熟悉Web服务器的构架模式。对Web应用的运行环境、Web服务器上运行的服务器软件和启用的服务也要有较全面的认识。对Web服务器的充分了解，将非常有助于我们对Web服务器故障类型的准确判断，进而以各种诊断工具为手段，快速的找到故障点，分析故障原因，彻底排除故障，恢复Web服务器的正常运行。本文以当前普遍使用的Web服务器配置环境：Windows Server 2003+IIS6.0+ACCESS2003+ASP3.0为依据，对WEB服务器故障的排除展开分析和讨论。

　　摘 要：伴随着互联网的迅速发展和普及，网站已成为各企事业单位的一个重要窗口。Web服务器作为网站最主要的载体，其能否正常稳定的运行，将直接关系到用户的经济效益、工作效率和品牌形象。如何预防Web服务器故障的发生和学会怎样排查、处理Web服务器故障是当前亟需解决的一个课题。本文将对Web服务器故障进行分类、判断和排除方法进行探讨，为高效解决Web服务器故障现象提供一套行之有效的排查和解决方案。

　　关键词：中级工程师论文,Web服务器,SQL注入漏洞,ASP木马,故障排查

　　1 WEB服务器故障的排除

　　1.1 WEB服务器故障诊断的一般步骤

　　对于WEB服务器故障的诊断，我们一般按下述六个步骤进行：

　　步骤一：根据观察故障现象，判断故障所属类型。从故障的具体表现，判断出发生故障的可能对象：主机设备、操作系统、Web服务和Web站点等。例如，开机无显示，在大的方向上可确定为主机故障，而且是主机硬件设备故障。

　　步骤二：确定故障类型，具体分析可能产生故障的原因。比如，Web站点访问失败，如果确定故障类型是Web服务故障，排除了主机故障和Web站点故障，那么引发此类故障的可能原因就是IIS的配置问题、SQL Server的配置问题或DNS的配置问题等。

　　步骤三：收集与故障相关联的有用信息。通过系统的事件查看器、网站日志文件、相关诊断命令(ICMP的ping、tracert命令)或故障诊断工具的诊断信息和日常维护管理记录等方面收集对故障诊断有用的信息。

　　步骤四：具体分析收集到的相关信息，通过比较、排查并确定引发故障的最可能原因。比如，对于WEB服务的故障，如果根据分析相关诊断信息后可以排除是数据库或DNS引发的问题，就必须把重点放在检查IIS的配置上。

　　步骤五：针对最可能引发故障的原因，建立科学的诊断计划。从故障现象入手，以诊断计划为手段，理清诊断计划的具体要求、技术措施和诊断的方法途径等，找出引发故障的真正原因。

　　步骤六：实施诊断计划，排除故障。在实施计划时要认真做好每一步测试，记录每一个参数变化，观察每一次测试结果。再通过具体分析每一步的测试结果，确定问题是否解决，如果没有解决，继续测试，直到故障现象消失。

　　1.2 故障排除案例分析

　　2009年12月18日学校网站某页面信息被恶意篡改，而其它页面及网站功能一切正常。WEB服务器的配置环境：Windows Server 2003 Enterprise+IIS6.0 +Access+ASP。

　　故障现象：网站上某领导的简介页面信息被篡改，其中领导头像也被调换。

　　故障分析与处理：

　　(1)根据具体故障现象，初步判断是Web站点故障，网站受到了网络攻击。

　　(2)怀疑系统没及时更新，黑客通过系统漏洞入侵。于是登录WEB服务器，通过扫描工具检测WEB服务器有没有存在未修复的漏洞。检查后没有发现什么问题，系统为最新版本，也没有发现有需要更新的系统或软件漏洞，于是继续查找故障原因。

　　(3)怀疑黑客利用网页上传后门向服务器上传ASP脚本木马。于是仔细排查网页上传后门漏洞。

　　1)首先检查学校网站后台的附件上传功能页面，可是后台管理页面中，只有eWebEditor编辑器有文件上传功能，会不会是eWebEditor的上传组件存在漏洞?查看“Upload.asp”和“Admin_UploadFile.asp”，果然，这两个上传文件页面都没有作任何限制。

　　2)eWebEditor编辑器的上传后门即然可能被非法调用，那么服务器的上传目录上就很可能被黑客上传了木马。于是检查网站的 “uploadfile”目录，果然发现了三个常见的ASP木马文件：DIY.ASP、ROOT.ASP和SAM.ASP。黑客很可能是利用ASP木马生成器来生成ASP木马文件，然后利用“桂林老兵”或“明小子旁注工具”等木马上传工具将ASP木马上传上来的。

　　3)忽然想到在建站时已经对 IIS目录权限做过优化，检查核实文件上传目录的IIS权限的确只有读取权限，同时执行权限设为“无”，这样即使网站上传目录被上传了ASP、exe等木马，也是无法执行的。而且，为了防止基于各种常用ASP组件的木马攻击，当时还对Wscript.Shell、Shell.Application和 FileSystemObject等常用组件通过修改注册表，将此类组件改名，来防止ASP木马的危害。这是否说明黑客虽然将ASP木马传上了服务器，但是却无法使用，并未对网站和系统造成什么危害，也不是这次故障的主要原因。

　　4)为了证实自己的判断，首先对服务器系统进行了全面的检查，系统管理帐户没有被增加、修改和提权的痕迹;再仔细检查系统的事件查看器，也没有发现非常登录的记录;最后，利用“淘特ASP木马扫描器”对全站进行扫描，检查除文件上传目录之外，攻击者有没有在网站服务器的其它目录下留下后门，扫描结果如下图1所示，没有发现新的ASP木马。

　　图1 ASP木马扫描结果

　　通过上述的排查和分析，说明故障原因也并非是网页上传后门被非法利用所致，于是继续查找故障原因。 　　(4)怀疑是网站的其它漏洞导致这次的黑客入侵，于是开始检查数据库记录和WEB日志记录。确认网页是什么时候被篡改的，是哪个帐户执行的?带着疑问开始仔细查找网站的其它漏洞。

　　1)打开WEB数据库，找到被篡改的的记录，如下图2，修改者和审核者都是原合法管理员“admin”，修改时间也被攻击者改成原时间。这说明黑客是通过网站漏洞成功破解了网站的管理员帐号和密码，并利用该帐号对网页内容进行篡改的。

　　图2 检查数据库

　　2)网页是什么时候被篡改的呢?带着疑问突然想到被篡改的网页中领导的头像也被调换了，而eWebEditor编辑器在上传文件时，会在原文件名的前面加上当前的系统日期和时间作为上传后的文件名。于是立即找到新的头像图片，查看文件名是：“20091218985420073384221536.jpg”，说明网页是在2009年12月18日被篡改的。

　　3)仔细查看2009年12月18日的WEB日志文件，突然看到如下图3所示的日志记录：

　　图3 WEB日志文件

　　说明黑客利用注入漏洞扫描器在学校网站中寻找SQL注入漏洞。再往下看发现黑客找到有SQL注入漏洞的链接，并开始利用注入工具进行数据表名的猜解，如下图4所示：

　　图4 WEB日志文件

　　再往下看，注入工具依次破解了数据表的字段名、帐号和密码。如下图5为成功猜解数据表“users”中含有列名为“name”的字段;图6则表示成功猜解出数据表“users”中第一个帐户的首字母为ASCII码值为97所对应的字符，即小写字母“a”。

　　图5 WEB日志文件

　　图6 WEB日志文件

　　回放黑客的整个攻击过程，从黑客发现SQL注入漏洞链接开始，仅仅用了5分钟左右的时间就拿到了整个网站的所有帐户信息。这足见SQL注入漏洞的严重后果以及注入工具的功能强大。为了证实SQL注入漏洞就是本次的故障原因。我自己又在本机做了一下测试，我用“穿山甲注入工具”对学校站点进行了一次注入测试，测试结果如下图7所示。事实再一次验证了这一次网络攻击的故障原因是：学校网站存在SQL注入漏洞。

　　图7 穿山甲注入工具

　　(5)修补SQL注入漏洞，清除ASP木马，还原网页信息，排除故障。修补网站的SQL注入漏洞其实很简单：可以通过调用字符过滤函数，对所有用户的输入进行了判定和过滤，比如对newsid的值过滤，只需将字符串：newsid=request("newsid")改成：newsid=checkstr(request("newsid"))即可。也可以通过使用UrlScan过滤非法URL的访问。

　　2 结束语

　　网站在各行各业中的应用越来普及，在各行各业中所发挥的作用也越来越重要，如何保障我们的WEB服务长期、稳定、安全、快速的运行是每一位网站管理员所要面对的重要课题。

　　对于服务公众的WEB服务器，发生故障在所难免，作为网站管理员，我们随时都有可能遇到各种各样的网络故障。学会快速排除常见故障，熟悉故障诊断流程，是我们必须要掌握的技能。同时，我们更应该要注意充分利用现有资源，采取各种有效措施消除各种故障隐患，减少故障发生的机会，更要避免各种严重问题的出现。一定要重视在Web服务器故障发生之前能够做好充分的服务器安全措施;在Web服务器发生故障之后也能迅速拿出一套行之有效的诊断计划，快速找出问题之所在并给予解决。

　　参考文献：

　　[1]Allan Liska.网络安全实践[M].北京：机械工业出版社，2004.

　　[2]周峰，徐晓军，李德路.ASP开发技术原理与实践教程[M].北京：电子工业出版社，2007.

　　[3]刘宗田，刘莹.Web站点安全与防火墙技术[M].北京：机械工业出版社，1998.

　　[4]周亚建，郑康锋，杨义先.网络安全加固技术[M].北京：电子工业出版社，2007.

转载请注明来自：http://www.yueqikan.com/jisuanjiyingyonglw/43456.html