網站伺服器被黑被掛馬的原因分析

仲介交易 SEO診斷 淘寶客 雲主機 技術大廳

很多使用者都碰到過這樣一些難堪的事，因為伺服器的安全性漏洞問題，導致其中資料的丟失、許可權被非法取得。 伺服器主要是指那些存放網站資料的WEB伺服器、DATA伺服器、DNS伺服器和MAIL伺服器。 現在就主要說下WEB伺服器為何被掛馬以及被黑的原因和解決方法。

首先可以大致分為伺服器本身和網站本身兩方面情況。

伺服器方面如下：

1 SQL資料庫注入漏洞。

這個漏洞比較常見，比如說asp+Access注入，Asp+MSSQL注入。 Aspx+MSSQL注入等等。

注入漏洞主要是利用ASP程式連接資料庫未過濾的情況下，利用select from，update等語句執行任意SQL語句。 但是這個漏洞如果在ACcess上使用，那麼只能用查詢了。 ACCESS是封裝的資料庫。 但是SQL就不同了。 MSSQL利用的漏洞有很多，比如說許可權分配不好，可以通過SQL拓展和許可權的薄弱，列目錄，差異備份LOG檔，跨庫查詢，CMD命令列執行。 MSSQL的exec等命令。 防止這個漏洞的相關方法，就是禁止在GET參數後面使用修改任一字元。 比如說"and 1=1"等等。 網路上有很多防注入程式。 還要注意的幾個不起眼的注入特徵符。 ""，"%"。 %準確來說。 是字元經過轉碼了。 可以轉換很多種編碼。 比如說HTML編碼。 WINHEX等。 都可以擾過很多防注入檔。 微軟的MSSQL是建立在Windows平臺的。 他有兩種方式驗證使用者，一種是MSSQL使用者，一種是Windows身份驗證。 所以極度不安全就在這裡。 如果一個攻擊者拿到系統許可權。 那麼他可以修改管理員密碼。 然後利用管理員密碼，用Windows身份驗證登陸到本機MSSQL，可以查閱對應資料庫任何資料。 以及修改，刪除。 還可以建立一個SYSTEM ADMIN許可權的SQL帳號。 這裡一般的解決辦法。 網管在建立MSSQL管理帳號時，千萬切記別採用預設模式登陸。 MSSQL如果是用預設的模式登陸的話，那麼可以使用Windows使用者驗證。 所以只能採用MSSQL帳戶。 刪除xp_cmdshell等。 各個盤都設置許可權。 不允許MSSQL直接存取盤符根目錄。 WEB目錄名稱儘量複雜點。 別用Vhost，wwwroot等。 這裡可以防範基本的攻擊者列目錄。 大家最好是做資料庫分離。 教大家一個比較變態的資料庫分離方法。 在伺服器裝個虛擬機器。 ViasulPC也可以。 就裝個Windows2003，如果大家有需要。 可以自己租一個伺服器。 然後自己用共用模式上網，跟虛擬機器共用，把資料庫放在虛擬機器裡面。 那麼資料庫也就是在內網了。 實際上跟本機一樣。 現在資料庫在外網已經TELNET不進1433了。 就算別人得到了資料庫伺服器也沒什麼用。 前幾天在CK空間看了一篇他入侵時碰到的一個有趣的事。 資料庫分離的。 那駭客氣的要死。 在INETPUB目錄寫了個罵管理員的ASP檔。 如果是用的整站系統。 請及時更新關注官方的漏洞和補丁公告。

2 系統漏洞

問:如果我的程式和元件相關的安全都做好了。 那麼是不是我的伺服器就安全了?

答:微軟提供的WindowsServer家族伺服器版本雖然方便快捷，但是仍然存在著安全隱患。 這個跟程式無關。 是系統本身的漏洞。 一般攻擊者都是通過緩衝區溢位漏洞直接獲得CMDSHELL或者系統許可權。 比如說IIS寫許可權漏洞，可以匿名存取IIS，並且寫入ASP木馬，獲得WEBSHELL。 比如說WEBDAV溢出，先用NC監聽本地埠。 再去溢出對方埠。 獲得一個CMDSHELL。 然後通過管理命令獲得遠端控制許可權。 這些漏洞在官方沒有提供解決方案之前，是沒有辦法修復的。 如果是Linux系統的話，開放過源碼了。 大家可以自己修改。 但是微軟沒公佈源碼。 所以要隨時關注微軟官方發佈的公告。 有條件和需要的企業可以聯繫微軟公司，申請一套Datacenter伺服器系統。 這款系統沒有在市場發行，是微軟專門為客戶需要定做的一套系統。 價格昂貴。 贈送liense。 但是安全性非常高。 不過申請有點難度。 因為datacenter各大企業都沒有採用。 就是因為它的價格。 相關資訊可以去看看Microsoft的系列廣播和資料。 在這裡感謝Cloudx的説明。 在我學MCSE的時候，他幫了我很多。 還是他要我去MS看廣播的。 網管們可以隨時關注MS公佈的補丁。 如果對系統漏洞想研究的朋友們。 可以去安全焦點或教主的0DAY公佈網站隨時關注漏洞利用程式的發佈。 然後再關注下MS的公告。 對學習很有説明。

3 密碼

關於密碼設置問題。 這個是也很容易獲得許可權的。 這都是人為漏洞。 比如說某公司員工，為了更容易的記住密碼。 就隨意把密碼設置成生日，手機號碼，姓名的拼音等。 建議大家把密碼設置的複雜點。 特別是伺服器的密碼。 比如說資料庫和系統密碼。 WEB密碼也要好好設置。 大小寫+符號。 長度在10-15位左右。 定期換一次密碼。 這樣攻擊者在破解你密碼的時候。 還沒破解出來，你又改密碼了。 關於密碼這個問題。 千萬不要設置成純數位。 如果是純小寫。 可以在密碼結尾設置2個或者3個好記點的數位。 長度最好是12-17位。 這個東西我就不說了。 一定要把系統Administrator給改名或者停用。 Guest停用。 然後改名。 帳戶原則也要設置好。

4 元件和許可權

攻擊者現在擁有一個系統的帳號。 你完全不用害怕他會改動你的IIS元件內設置。 你可以把INTER資訊服務設置一個密碼。 然後把系統*。 msc複製到你指定的一個資料夾。 再設置加密。 然後只允許你的帳號使用。 接著隱藏起來。 那麼攻擊者改不了你任何元件。 也不能查看和增加刪除。 Wscript。 shell刪除。 Net。 exe刪除。 Cmd。 exe設置好許可權。 所有目錄全部要設置好許可權。 如不需要。 除WEB目錄外。 其他所有目錄。 禁止IIS組使用者訪問。 只允許Administrators組進行訪問和修改。 還一個變態許可權的設置。 前面我已經說了MSC檔的存取權限。 你可以設置Admin，Admin1，Admin2......，admin只賦予修改許可權，admin1只賦予讀取和運行許可權，admin2只賦予列出資料夾和目錄許可權，admin3只賦予寫入權限，admin4只賦予讀取權限。 然後每個帳戶根據需要分配配額。 這樣的話。 就算有VBS腳本。 刪除了NET。 EXE，對方也提不起權。 如果是沒運行許可權的使用者不小心啟動了攻擊者的木馬。 那麼也沒許可權運行和修改。 Windows提供了螢幕保護裝置功能。 建議大家還可以安裝一個協力廠商提供的螢幕保護裝置鎖。 那樣你的系統又可以多一重安全保障。 建議大家千萬不要使用Pcanywhere等軟體。 除非你許可權設置通過自己的測試了。 Pcanywhere有一個檔案系統，如果許可權沒分配好，使用者可以通過PCANYWHERE的檔案系統，在啟動項寫木馬。 然後等待你登陸。 大家沒這需要。 建議就用預設的3389就好了。 埠就算改了別人也可以掃出來。 還不如就用預設的。 攻擊者在獲得你系統許可權並登陸到3389以後。 你的第二道安全鎖(協力廠商系統鎖)把他死死的鎖在外面了。 這樣別人就進不了你系統了。 記住。 千萬不能亂開許可權。 不然後果不堪設想。 如果是獨立伺服器。 沒必要使用WEB時，請把多餘的IIS等服務關閉。 以免引起不必要的損失。 用優化大師禁止遠端註冊表的訪問那些。 還有IPC空連接。

關於伺服器方面原因我就說這麼多。 下面在來看下網站方面的原因

1、上傳漏洞

2、暴庫

3、注入漏洞

4、旁注

現在接觸到一些負責網站的人員。 他們安全防護知識太差。 出現一些常見的問題，就難以解決。 像網站被掛馬這種情況，他們一般的做法就是簡單的清楚掉木馬。 深層次一點的攻擊者所留下來的後門完全沒有察覺。 就這樣子，沒有從根本上解決問題。 還有一些個人站是從網上下的免費模版建起來的站，雖然便宜，卻經常會被駭客掛馬，難道就不清楚這些模版的作者留有後門。 還有一些是站是放在租用空間裡面的，站長還以為出了問題，　　IDC商會給解決問題。 我就想問下他們能解決什麼呢?那又不是他們的義務。 他們能做的就是提供空間，簡單的維護。 真正能從根本上解決問題的是沒有的。

算了，不說了。 我抛磚引玉，請高手發表高見。 如何做好安全防護。 願與致立于網站安全的人員進行溝通交流。 QQ：254770445