|
|
|
|
|
當(dāng)網(wǎng)站被黑客入侵后,管理員要迫切做哪些工作?當(dāng)然是先盡可能快地找出入侵入口,找出哪個地方被利用了,進而加以防范。本文記錄了某論壇被入侵后,管理員是如何快速找到黑客入侵入口并修補漏洞的,他的處理經(jīng)驗值得大家學(xué)習(xí)。
早上起來,像往常一樣打開論壇,發(fā)現(xiàn)進不去,趕緊上 QQ 準(zhǔn)備聯(lián)系服務(wù)器管理員,卻發(fā)現(xiàn)服務(wù)器管理員已經(jīng)給我留言:
發(fā)現(xiàn)論壇被入侵
論壇被入侵后,首要任務(wù)是找出病毒文件。
查找病毒文件(點擊圖片放大)
看這張查出木馬的截圖,原來是 php 木馬。
如果不用軟件查找,也可以自己觀察網(wǎng)站各文件的修改時間,判斷是否病毒文件或被病毒感染文件。
那這些文件又是如何上傳到服務(wù)器的呢?
這個時候才知道網(wǎng)站日志的重要性,所以網(wǎng)站日志千萬不要關(guān)閉,且至少要保留2周的日志記錄。
由于網(wǎng)站首頁被篡改,所以通過首頁文件(index.html)的最后修改時間,去分析網(wǎng)站日志。
首頁修改時間
根據(jù)文件修改時間(日志內(nèi)使用的是UTC時間,日志里的時間要減8小時),在日志內(nèi)找到的相關(guān)操作:
2013-06-21 14:03:11 W3SVC129 123.157.149.29 POST /demo/upload/635074464204358063_ice.aspx action=edit&src=D%3a%5cHostingSpaces%5cfineuico%5cfineui.s1.kingidc.net%5cwwwroot%5c%5cindex.html 80 - 222.136.235.23 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0) 200 0 0 10497 48738 1008
顯然,這個人222.136.235.23在站點內(nèi)利用上傳功能上傳進了一個aspx木馬篡改了首頁文件。
/demo/upload/635074464204358063_ice.aspx
不得不看看 /demo/upload/ 這個目錄,果然,在這個目錄內(nèi)發(fā)現(xiàn)了個可疑文件。
可疑文件
在日志文件里不斷查找這個IP 222.136.235.23 的訪問記錄,發(fā)現(xiàn)他之前一直在 /demo/form/fileupload.aspx 這個頁面上傳文件。
從 338行 post了一個數(shù)據(jù)之后,就成功將他aspx木馬傳入了你的upload目錄內(nèi):
13:08:09 POST /demo/form/fileupload.aspx
13:08:13 GET /demo/upload/635074456895620028_safer.aspx
13:08:16 GET /demo/upload/635074456895620028_safer.aspx
立即測試了一下 /demo/form/fileupload.aspx 這個頁面,上傳php,aspx文件都可以,而且傳了后,文件路徑就在下方輸出的圖片路徑內(nèi)可以獲取。
成功上傳php文件
至此,入侵入口得以確定。
為了防止有人繼續(xù)用這個漏洞傳入木馬或者篡改數(shù)據(jù),把該文件名重命名。
/demo/form/fileupload.aspx -> /demo/form/fileupload__.aspx
再修改上傳代碼,對上傳文件類型加以判斷。
修復(fù)了漏洞之后,不能以為就此完事,因為入侵者很可能對服務(wù)器或網(wǎng)站做了其他一些操作,比較常見的添加一個管理員帳號。
此時,服務(wù)器管理員必須檢查一次系統(tǒng)用戶,把異常帳號刪除,并把所有用戶重新命名和更改密碼。
此外,網(wǎng)站后臺管理員帳號也要檢查一遍,把異常帳號刪除,并把所有管理員帳號重新命名和更改密碼。
通過本文的分享,讓大家知道一旦網(wǎng)站出現(xiàn)入侵,該如何去開展工作,而不是一籌莫展。
一般來說,入侵入口多是涉及用戶輸入和用戶上傳的地方,所以代碼的安全性相當(dāng)重要。
最后,我不得不說一下,該論壇的安全設(shè)置是有一點問題的,管理員犯了多數(shù)人都犯的錯誤,那就是允許了上傳目錄執(zhí)行腳本。服務(wù)器安全設(shè)置中,必須禁止上傳目錄執(zhí)行腳本。