剖析網站遭遇的駭客的三次入侵

來源:互聯網
上載者:User

  隨著教育資訊化進程的推進,各類教育網站大量湧現。由於教育網站大多是學校電腦教師自己開發管理的小型網站,普通存在著裝置、技術、專業人員不足的問題,網站自身存在漏洞,常常成為駭客攻擊的目標,嚴重影響了正常業務的開展。這裡,筆者希望通過對教育網站所遭遇的三次駭客入侵的剖析,來分析駭客常用的入侵方法和手段。

  第一次遭遇入侵

  1. 入侵現象:2004年春節,網站的公告欄上突然出現“此論壇有漏洞,請管理員修複”的內容,並被粘貼了一張圖片。

  2. 處理問題的過程:首先想到的是以為存在某個Windows 2000漏洞,於是就先刪除這條內容,然後對Windows 2000伺服器重新安裝升級補丁,完成更嚴格的安全設定並更換了全套密碼。自以為可以高枕無憂了,不料沒過幾天,公告板上再次出現駭客的警告“你的漏洞依然存在,我可以告訴你問題所在,但作為回報我要你網站的原始碼”。

  3. 入侵原理:我當然不會輕易就範,經過查閱資料最後發現原來漏洞是SQL致命的“單引號注入”。入侵原理如下:在網站後台管理登入頁面使用者密碼認證時,如果使用者在“UserID”輸入框內輸入“Everybody”,在密碼框裡輸入“anything' or 1='1”,查詢的SQL語句就變成了:Select from user where username='everyboby' and password='anything' or 1='1'。不難看出,由於“1='1'”是一個始終成立的條件,判斷返回為“真”,Password的限制形同虛設,不管使用者的密碼是不是Anything,他都可以以Everybody的身份遠程登入,獲得後台管理權,在公告欄發布任何資訊。

  4. 解決方案:用replace函數屏蔽單引號。

  select from user where username='&replace(request.form("UserID"),',")&&' and password=' &replace(request.form ("Pass"),',")&&

  再次被入侵

  有了第一次被入侵的經曆,事後幾周我心裡一直忐忑不安,但不幸還是發生了。

  1. 入侵現象:一天,突然發現網站的首頁檔案和資料庫部分資料被刪除,從入侵的痕迹分析是同一駭客所為。

  2. 處理問題的過程:首先查看系統日誌、SQL的日誌,沒有發現價值的線索,採用X-Scan、木馬剋星和瑞星殺毒軟體內建的系統漏洞掃描工具進行掃描,系統沒有嚴重的安全性漏洞,於是問題的尋找陷入了困境,幸好網站有完整的備份資料,最後只能先恢複網站的正常運行。巧的是在一周后一次通過後台管理上傳檔案的過程中,發現有人上傳過cmd.asp、mun.asp和1.bat三個檔案的操作痕迹,時間為第一次入侵期間。但機器硬碟上已無法尋找到這三個檔案,這是木馬程式,顯然這駭客比較專業,在入侵完成後自己清理了戰場,但還是在網站上傳記錄中留下了線索,否則管理員根本無從知曉。

  3. 入侵原理:cmd.asp、mun.asp是木馬程式,經過翻閱大量資料顯示這類木馬為ASP木馬,屬於有名的海陽頂端ASP木馬的一種,這類木馬一旦被複製到網站的虛擬目錄下,遠端只要用IE瀏覽器開啟該ASP檔案,就可以在Web介面上輕鬆地控制該電腦執行任何操作。我在網上下載了一個ASP木馬,類比測試了一下,功能非常強大,能實現遠程檔案上傳下載、刪除、使用者添加、檔案修改和程式遠程執行等操作。1.bat檔案為批次檔,內容根據需要寫入一組程式執行命令在遠端電腦上實現自動執行。顯然,這個木馬是在駭客第一次入侵時就放上去的,一旦網管員沒按他的要求就範,就可以輕鬆地再次實施攻擊。

  4. 解決方案:為了防止仍有隱藏很深的木馬,確保萬無一失,我重新安裝了Windows2000系統,並更換了全套使用者名稱,密碼。

  第三次被入侵的分析

  1. 入侵現象:2004年10月,網站再次遭到入侵。這天我在圖片新聞欄目中突然發現一條圖片新聞被去年一條舊的內容所替代,當用戶端點擊該新聞圖片時,瑞星殺毒監控系統警示發現病毒,顯然網站已被入侵併被植入帶病毒的圖片,這是一種以圖片檔案格式作為掩護的木馬病毒,使用者一旦點擊該圖片,病毒就被植入C:\Windows\Temporary Internet Files目錄下,這是一起惡性駭客入侵事件,從其手法上看為另一駭客所為。

  2. 處理問題的過程:有了前兩次被入侵的教訓,我養成經常瞭解有關係統安全性漏洞資訊的習慣,並定期進行系統UPDATE,因此利用系統漏洞入侵的可能性不大。而該置入的圖片是放入SQL資料庫內的,這說明駭客利用了網站後台管理功能實現圖片上傳,而這需要合法的使用者密碼才行。我設定的使用者名稱和密碼不容易被破解,那麼只有一條途徑,即駭客通過某種特定的方式拿到了放在SQL資料庫表中的後台系統管理使用者名和密碼。有了這個思路,我在互連網上研讀了大量相關資料,最後鎖定本次受到的攻擊為“SQL注入式入侵”。

  3. 入侵原理:SQL注入的原理,是用戶端從正常的WWW連接埠提交特殊的代碼,利用返回的錯誤提示,收集程式及伺服器的資訊,從而擷取想得到的資料。

  4. 解決方案:在ASP程式提取資料庫表單內容的“select * from”語句前增加一條關閉SQL出錯資訊的顯示語句“on error resume next”,如

  on error resume next

  rs.Open "select from xinwen where xw_id="&request.QueryString ("xw_id"),conn,1,3



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。