本帖最后由 adds 于 2021-3-28 20:45 编辑
一、AC绑定用户失败
1、问题现象 AC配置了绑定MAC的免认证操作,但用户登录认证时提示“用户绑定校验失败”。
2、排查 查看用户绑定关系,发现该用户绑定了IP。
查看绑定报错信息,发现该用户获取了其他IP。
3、原因 设备配置的短信认证MAC认证。在短信认证服务器里配置的相应策略。
而在这里配置的话会有一定的基率出错,建议在“认证策略”里配置,这里取消配置。
二、黑链相关知识 1、搜索引擎语法检测黑链植入 1)site:sangfor.com.cn 检索内容
2)link:sangfor.com.cn 链接到目标站点的页面
3)将隐藏的javascript注入目标站点
4)重定向注入目标
5)批量植入html页面
6)驱动隐藏 查看服务器C盘windows目录下是否存在如下文件。 c:\windows\xlkfs.dat c:\windows\xlkfd.dll c:\windows\xlkfs.ini c:\windows\system32\drivers\xlkfs.sys
7)服务端动持(值入asp/php/aspx/jsp黑链页面)
8)页面篡改 在网页中插入一些黑词
9)Rwrite重写
10)nginx配置文件篡改
3、黑链排查思路 1)确认是否存在黑链。 2)断网或挂上静态页面。 3)网站目录有没有文件; 代码中有没有恶意代码; 中间件配置文件有没有问题; 域名解析服务吕有没有问题 4)服务器日志;文件生成时间;使用网站版本、组件。
三、黑链问题排查 1、异常现象确认 访问:http://192.168.1.63/heiye.html会显示黑链页面。
2、删除黑链文件。 在网站服务器上搜索heiye.html文件,发现在c:\Inetpub\wwwroot\PowerEasy目录下有该文件。
3、查杀webshell 使用D盾查杀发现了上传的恶意文件。
删除恶意文件。
4、验证 访问该黑链接:
访问webshell。
5、查找攻击者 1)确认恶意文件上传时间
2)根据恶意文件上传时间查找当天的IIS日志
3)分析日志 查找最先访问者,一般最先访问者即攻击者:
shell.asp最先访问者:
查看登录日志:
攻击者为192.168.1.253 |