技術(shù)頻道導(dǎo)航
HTML/CSS
.NET技術(shù)
IIS技術(shù)
PHP技術(shù)
Js/JQuery
Photoshop
Fireworks
服務(wù)器技術(shù)
操作系統(tǒng)
網(wǎng)站運營

贊助商

分類目錄

贊助商

最新文章

搜索

網(wǎng)站被黑客入侵后 如何快速找到入侵入口并修補漏洞

作者:admin    時間:2017-3-29 21:47:13    瀏覽:

當(dāng)網(wǎng)站被黑客入侵后,管理員要迫切做哪些工作?當(dāng)然是先盡可能快地找出入侵入口,找出哪個地方被利用了,進而加以防范。本文記錄了某論壇被入侵后,管理員是如何快速找到黑客入侵入口并修補漏洞的,他的處理經(jīng)驗值得大家學(xué)習(xí)。

發(fā)現(xiàn)異常

早上起來,像往常一樣打開論壇,發(fā)現(xiàn)進不去,趕緊上 QQ 準(zhǔn)備聯(lián)系服務(wù)器管理員,卻發(fā)現(xiàn)服務(wù)器管理員已經(jīng)給我留言:

發(fā)現(xiàn)論壇被入侵

發(fā)現(xiàn)論壇被入侵

查找病毒文件

論壇被入侵后,首要任務(wù)是找出病毒文件。

查找病毒文件

查找病毒文件(點擊圖片放大)

看這張查出木馬的截圖,原來是 php 木馬。

如果不用軟件查找,也可以自己觀察網(wǎng)站各文件的修改時間,判斷是否病毒文件或被病毒感染文件。

那這些文件又是如何上傳到服務(wù)器的呢?

分析網(wǎng)站日志

這個時候才知道網(wǎng)站日志的重要性,所以網(wǎng)站日志千萬不要關(guān)閉,且至少要保留2周的日志記錄。

由于網(wǎng)站首頁被篡改,所以通過首頁文件(index.html)的最后修改時間,去分析網(wǎng)站日志。

首頁修改時間

首頁修改時間

根據(jù)文件修改時間(日志內(nèi)使用的是UTC時間,日志里的時間要減8小時),在日志內(nèi)找到的相關(guān)操作:

2013-06-21 14:03:11 W3SVC129 123.157.149.29 POST /demo/upload/635074464204358063_ice.aspx action=edit&src=D%3a%5cHostingSpaces%5cfineuico%5cfineui.s1.kingidc.net%5cwwwroot%5c%5cindex.html 80 - 222.136.235.23 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0) 200 0 0 10497 48738 1008

顯然,這個人222.136.235.23在站點內(nèi)利用上傳功能上傳進了一個aspx木馬篡改了首頁文件。

/demo/upload/635074464204358063_ice.aspx

不得不看看 /demo/upload/ 這個目錄,果然,在這個目錄內(nèi)發(fā)現(xiàn)了個可疑文件。

可疑文件

可疑文件

只分析該IP的訪問日志

在日志文件里不斷查找這個IP 222.136.235.23 的訪問記錄,發(fā)現(xiàn)他之前一直在 /demo/form/fileupload.aspx 這個頁面上傳文件。

從 338行 post了一個數(shù)據(jù)之后,就成功將他aspx木馬傳入了你的upload目錄內(nèi):

13:08:09  POST  /demo/form/fileupload.aspx
13:08:13  GET  /demo/upload/635074456895620028_safer.aspx
13:08:16  GET  /demo/upload/635074456895620028_safer.aspx

確定入侵入口

立即測試了一下 /demo/form/fileupload.aspx 這個頁面,上傳php,aspx文件都可以,而且傳了后,文件路徑就在下方輸出的圖片路徑內(nèi)可以獲取。

成功上傳php文件

成功上傳php文件

至此,入侵入口得以確定。

修補漏洞

為了防止有人繼續(xù)用這個漏洞傳入木馬或者篡改數(shù)據(jù),把該文件名重命名。

/demo/form/fileupload.aspx -> /demo/form/fileupload__.aspx

再修改上傳代碼,對上傳文件類型加以判斷。

檢查系統(tǒng)用戶

修復(fù)了漏洞之后,不能以為就此完事,因為入侵者很可能對服務(wù)器或網(wǎng)站做了其他一些操作,比較常見的添加一個管理員帳號。

此時,服務(wù)器管理員必須檢查一次系統(tǒng)用戶,把異常帳號刪除,并把所有用戶重新命名和更改密碼。

此外,網(wǎng)站后臺管理員帳號也要檢查一遍,把異常帳號刪除,并把所有管理員帳號重新命名和更改密碼。

總結(jié)

通過本文的分享,讓大家知道一旦網(wǎng)站出現(xiàn)入侵,該如何去開展工作,而不是一籌莫展。

一般來說,入侵入口多是涉及用戶輸入和用戶上傳的地方,所以代碼的安全性相當(dāng)重要。

最后,我不得不說一下,該論壇的安全設(shè)置是有一點問題的,管理員犯了多數(shù)人都犯的錯誤,那就是允許了上傳目錄執(zhí)行腳本。服務(wù)器安全設(shè)置中,必須禁止上傳目錄執(zhí)行腳本。

標(biāo)簽: 黑客  入侵  
相關(guān)文章
    x
    • 站長推薦
    /* 左側(cè)顯示文章內(nèi)容目錄 */