最近，一位客戶的網(wǎng)站因?yàn)橛新┒?，被黑客入侵了，訪問直接跳轉(zhuǎn)非法鏈接。

通過查看網(wǎng)站頁面我們發(fā)現(xiàn)該客戶的網(wǎng)站是采用老舊的ASP程序搭建的，漏洞較多，而且客戶也沒有程序員，不知道如何修復(fù)漏洞。

針對此問題，我們先是給客戶恢復(fù)了無毒的網(wǎng)站程序，然后通過部署百度云防護(hù)應(yīng)用防火墻進(jìn)行安全防護(hù)。

開啟百度云防護(hù)很簡單，只需要域名解析接入百度云防護(hù)記錄即可，然后開啟Web防護(hù)設(shè)置功能，開啟嚴(yán)格策略集，攔截。

然后就可以正常防御了。

百度云防護(hù)可有效防御SQL注入、XSS、文件上傳、網(wǎng)頁掛馬、 BOT爬蟲等黑客攻擊行為，從而保護(hù)企業(yè)網(wǎng)站安全。

接入成功后，客戶網(wǎng)站當(dāng)天下午就有來自香港的后門入侵記錄了。

通過百度云防護(hù)的攔截詳情來看，這是一個遠(yuǎn)程代碼執(zhí)行（RCE）攻擊，可通過執(zhí)行代碼修改網(wǎng)站文件，好在百度云防護(hù)進(jìn)行了攔截。

這段JSON格式的數(shù)據(jù)描述了一個HTTP POST請求的頭部（header）和正文（body）內(nèi)容。這個請求看起來是惡意的，因?yàn)樗藝L試執(zhí)行服務(wù)器端代碼的代碼，這通常與遠(yuǎn)程代碼執(zhí)行（RCE）攻擊有關(guān)。下面是對這些內(nèi)容的解釋：

1. Header（頭部）：
   • connection: close：請求完成后關(guān)閉連接。
   • content-type: application/x-www-form-urlencoded：發(fā)送的數(shù)據(jù)格式是URL編碼的表單數(shù)據(jù)。
   • host: www.njyimi.com：目標(biāo)服務(wù)器的主機(jī)名。
   • content-length: 1237：請求正文的長度。
   • accept-encoding: gzip, deflate：客戶端支持的壓縮格式。
   • user-agent：發(fā)送請求的客戶端信息，這里顯示了一個Chrome瀏覽器和一個Safari瀏覽器的標(biāo)識。
2. Body（正文）：
   • 正文部分包含了編碼后的JavaScript代碼，這些代碼經(jīng)過URL編碼，目的是在服務(wù)器端執(zhí)行。代碼中包含了多個函數(shù)和命令，例如：
     • Server.ScriptTimeout=3600：設(shè)置服務(wù)器腳本的超時(shí)時(shí)間為3600秒。
     • On Error Resume Next：忽略錯誤，繼續(xù)執(zhí)行后續(xù)代碼。
     • Function bd(byVal s)：定義一個名為bd的函數(shù)，該函數(shù)接收一個字符串參數(shù)s，并對其進(jìn)行處理。
     • Response.Write：用于在服務(wù)器端輸出內(nèi)容。
     • Response.End：結(jié)束響應(yīng)。
   • 代碼中還包含了一些編碼后的字符串，這些字符串在解碼后可能會執(zhí)行一些惡意操作，比如創(chuàng)建或修改服務(wù)器上的文件。

這段請求的正文部分包含了潛在的惡意代碼，其目的是在服務(wù)器端執(zhí)行，可能用于攻擊服務(wù)器、竊取數(shù)據(jù)或其他惡意行為。