词条信息

admin
admin
超级管理员
词条创建者 发短消息   

相关词条

热门词条

更多>>
一个宽带装两个路由器怎么设置?
很多朋友可能存这种情况,家里房间比较多,之前已经安装了一个无线路由器,但是在某些房间信号很差,想再增加一个...
宽带升级到200兆了,路由器和网线是不是需要更换?
事实上,200兆宽带需要支持千兆网络传输速率的硬件。尽管200兆与千兆相差很大,但目前网络传输速率只有百兆和千...
2019年电子商务发展4大主流趋势
随着在线零售业的竞争日趋激烈,企业和卖家只有积极利用科技趋势才能保住增长势头,立于不败之地。据市场研究公司 S...
超1亿人朋友圈“仅三天可见”
你有多少个真正称得上朋友的人?前段时间微信创始人、腾讯公司高级副总裁张小龙在年度演讲里说起关于朋友圈的一件事:...
半夜总是醒了又睡睡了又醒怎么办?
现在是一个全民缺觉的时代,越来越多人因为加班、情感、焦虑等问题困扰着自己的失眠。急剧下降的睡眠质量,同样也会影...
解决网 >>所属分类 >> 经验技巧   

网站被黑客入侵后 如何快速找到入侵入口并修补漏洞

标签: 网站被黑 查找入侵入口 修补漏洞

顶[0] 发表评论(0) 编辑词条

当网站被黑客入侵后,管理员要迫切做哪些工作?当然是先尽可能快地找出入侵入口,找出哪个地方被利用了,进而加以防范。本文记录了某论坛被入侵后,管理员是如何快速找到黑客入侵入口并修补漏洞的,他的处理经验值得大家学习。


目录

发现异常编辑本段回目录


早上起来,像往常一样打开论坛,发现进不去,赶紧上 QQ 准备联系服务器管理员,却发现服务器管理员已经给我留言:


发现论坛被入侵发现论坛被入侵

查找病毒文件


论坛被入侵后,首要任务是找出病毒文件。

查找病毒文件



看这张查出木马的截图,原来是 php 木马。


如果不用软件查找,也可以自己观察网站各文件的修改时间,判断是否病毒文件或被病毒感染文件。


那这些文件又是如何上传到服务器的呢?


分析网站日志编辑本段回目录


这个时候才知道网站日志的重要性,所以网站日志千万不要关闭,且至少要保留2周的日志记录。


由于网站首页被篡改,所以通过首页文件(index.html)的最后修改时间,去分析网站日志。


首页修改时间



根据文件修改时间(日志内使用的是UTC时间,日志里的时间要减8小时),在日志内找到的相关操作:


2013-06-21 14:03:11 W3SVC129 123.157.149.29 POST /demo/upload/635074464204358063_ice.aspx action=edit&src=D%3a%5cHostingSpaces%5cfineuico%5cfineui.s1.kingidc.net%5cwwwroot%5c%5cindex.html 80 - 222.136.235.23 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0) 200 0 0 10497 48738 1008


显然,这个人222.136.235.23在站点内利用上传功能上传进了一个aspx木马篡改了首页文件。


/demo/upload/635074464204358063_ice.aspx


不得不看看 /demo/upload/ 这个目录,果然,在这个目录内发现了个可疑文件。


可疑文件



只分析该IP的访问日志编辑本段回目录


在日志文件里不断查找这个IP 222.136.235.23 的访问记录,发现他之前一直在 /demo/form/fileupload.aspx 这个页面上传文件。


从 338行 post了一个数据之后,就成功将他aspx木马传入了你的upload目录内:


13:08:09  POST  /demo/form/fileupload.aspx

13:08:13  GET  /demo/upload/635074456895620028_safer.aspx

13:08:16  GET  /demo/upload/635074456895620028_safer.aspx


确定入侵入口编辑本段回目录


立即测试了一下 /demo/form/fileupload.aspx 这个页面,上传php,aspx文件都可以,而且传了后,文件路径就在下方输出的图片路径内可以获取。


成功上传php文件


至此,入侵入口得以确定。


修补漏洞编辑本段回目录


为了防止有人继续用这个漏洞传入木马或者篡改数据,把该文件名重命名。


/demo/form/fileupload.aspx -> /demo/form/fileupload__.aspx


再修改上传代码,对上传文件类型加以判断。


检查系统用户编辑本段回目录


修复了漏洞之后,不能以为就此完事,因为入侵者很可能对服务器或网站做了其他一些操作,比较常见的添加一个管理员帐号。


此时,服务器管理员必须检查一次系统用户,把异常帐号删除,并把所有用户重新命名和更改密码。


此外,网站后台管理员帐号也要检查一遍,把异常帐号删除,并把所有管理员帐号重新命名和更改密码。



总结编辑本段回目录


通过本文的分享,让大家知道一旦网站出现入侵,该如何去开展工作,而不是一筹莫展。


一般来说,入侵入口多是涉及用户输入和用户上传的地方,所以代码的安全性相当重要。


最后,我不得不说一下,该论坛的安全设置是有一点问题的,管理员犯了多数人都犯的错误,那就是允许了上传目录执行脚本。服务器安全设置中,必须禁止上传目录执行脚本。

 

 

附件列表


按字母顺序浏览:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

→我们致力于为广大网民解决所遇到的各种电脑技术问题
 如果您认为本词条还有待完善,请 编辑词条

上一篇网站被入侵,该如何查找黑客及网站漏洞?
下一篇HTML link rel 属性解释

0
1. 本站部分内容来自互联网,如有任何版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
2. 本站内容仅供参考,如果您需要解决具体问题,建议您咨询相关领域专业人士。
3. 如果您没有找到需要的百科词条,您可以到百科问答提问或创建词条,等待高手解答。

关于本词条的提问

查看全部/我要提问>>