最近，一位客戶的網(wǎng)站因為有漏洞，被黑客入侵了，訪問直接跳轉(zhuǎn)非法鏈接。

通過查看網(wǎng)站頁面我們發(fā)現(xiàn)該客戶的網(wǎng)站是采用老舊的ASP程序搭建的，漏洞較多，而且客戶也沒有程序員，不知道如何修復漏洞。

針對此問題，我們先是給客戶恢復了無毒的網(wǎng)站程序，然后通過部署百度云防護應用防火墻進行安全防護。

開啟百度云防護很簡單，只需要域名解析接入百度云防護記錄即可，然后開啟Web防護設置功能，開啟嚴格策略集，攔截。

然后就可以正常防御了。

百度云防護可有效防御SQL注入、XSS、文件上傳、網(wǎng)頁掛馬、 BOT爬蟲等黑客攻擊行為，從而保護企業(yè)網(wǎng)站安全。

接入成功后，客戶網(wǎng)站當天下午就有來自香港的后門入侵記錄了。

通過百度云防護的攔截詳情來看，這是一個遠程代碼執(zhí)行（RCE）攻擊，可通過執(zhí)行代碼修改網(wǎng)站文件，好在百度云防護進行了攔截。

這段JSON格式的數(shù)據(jù)描述了一個HTTP POST請求的頭部（header）和正文（body）內(nèi)容。這個請求看起來是惡意的，因為它包含了嘗試執(zhí)行服務器端代碼的代碼，這通常與遠程代碼執(zhí)行（RCE）攻擊有關。下面是對這些內(nèi)容的解釋：

1. Header（頭部）：
   • connection: close：請求完成后關閉連接。
   • content-type: application/x-www-form-urlencoded：發(fā)送的數(shù)據(jù)格式是URL編碼的表單數(shù)據(jù)。
   • host: www.njyimi.com：目標服務器的主機名。
   • content-length: 1237：請求正文的長度。
   • accept-encoding: gzip, deflate：客戶端支持的壓縮格式。
   • user-agent：發(fā)送請求的客戶端信息，這里顯示了一個Chrome瀏覽器和一個Safari瀏覽器的標識。
2. Body（正文）：
   • 正文部分包含了編碼后的JavaScript代碼，這些代碼經(jīng)過URL編碼，目的是在服務器端執(zhí)行。代碼中包含了多個函數(shù)和命令，例如：
     • Server.ScriptTimeout=3600：設置服務器腳本的超時時間為3600秒。
     • On Error Resume Next：忽略錯誤，繼續(xù)執(zhí)行后續(xù)代碼。
     • Function bd(byVal s)：定義一個名為bd的函數(shù)，該函數(shù)接收一個字符串參數(shù)s，并對其進行處理。
     • Response.Write：用于在服務器端輸出內(nèi)容。
     • Response.End：結束響應。
   • 代碼中還包含了一些編碼后的字符串，這些字符串在解碼后可能會執(zhí)行一些惡意操作，比如創(chuàng)建或修改服務器上的文件。

這段請求的正文部分包含了潛在的惡意代碼，其目的是在服務器端執(zhí)行，可能用于攻擊服務器、竊取數(shù)據(jù)或其他惡意行為。