告警规则为非上班时间登录系统,主要的目的是防止有人在非上班时间对系统进行操作。
账号猜测攻击是一种非常常见的攻击手段,一般被攻击者首先要确定主机的账号后才 能对其发起一步的攻击。所以一般攻击者首先会猜测 root 的账号,所以修改 root 账号 名称或者禁止 root 账号远程登陆是非常有效的安全手段。其特征是一段时间内容有连续的账号不存在登录日志,则可以确定为账号猜测攻击。
SQL 注入攻击是黑客对数据库进行攻击的常用手段之一,相当大一部分程序员在编写代码的时候没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结 果,获得某些他想得知的数据,这就是所谓的 SQLInjection,即 SQL 注入。
目录遍历是针对 WindowsIIS 和 Apache 的一种常见攻击方法,它可能让攻击者访问受限制的目录,通过执行 cmd.exe/c 命令来提取目录信息,或者在 Web 服务器的根目录以外执行命令。
WebShell 就是以 asp、php、jsp 或者 cgi 等网页文件形式存在的一种命令执行环境,也 可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将这些 asp 或 php 后门 文件与网站服务器 WEB 目录下正常的网页文件混在一起,然后就可以使用浏览器来访问 这些 asp 或者 php 后门,得到一个命令执行环境,以达到控制网站服务器的目的。
