TGFC Lifestyle - Powered by Discuz! Board

标题: [电脑] 两帮人一起黑我们单位网站，真欢乐！ [打印本页]

作者: 猫猫熊 时间: 2010-1-25 11:02 标题: 两帮人一起黑我们单位网站，真欢乐！

已经半个月了，隔三差五跑来折腾一下，先是修改了单位介绍，然后又改其他东西，今天好，把主页全部换掉了。MD，我们单位网站，也就这白痴和我们领导会看，这不是害苦了我么。

各位高人知道哪个软件可以监测来访IP的？遇到白痴真是没话讲。o(︶︿︶)o 唉。还自以为黑客，真是添乱。

中午我正折腾的时候，又被黑一次，这回搞笑了，发现有两帮人在黑我们网站，还互相较劲。寒死我了。

今天中午的留言：“我也来玩玩！那个叫什么飞的不要太牛B！本网站存在SQL漏洞希望尽快修复！以免再被黑！黑基 By : DX黑 %> ”

我大概查了一下，SQL漏洞貌似是：login.asp远程sql注入漏洞？

年底事情又多，还摊上这事情，真是烦死了。求教上述漏洞简单修复方法？关键就怕这个洞补上，再有另外一个洞。MD，等我搞完了，也成高手了。

[ 本帖最后由猫猫熊于 2010-1-25 13:17 编辑 ]

作者: bsseven 时间: 2010-1-25 11:10

LZ连人家练手的初黑都干不过还有脸过来发牢骚？

作者: 我不懂 时间: 2010-1-25 11:13

你是不是得罪谁了?

作者: 猫猫熊 时间: 2010-1-25 11:18

引用:

原帖由 bsseven 于 2010-1-25 11:10 发表
LZ连人家练手的初黑都干不过还有脸过来发牢骚？

你看我提的问题不就是不懂嘛，你知道就回答，不知道也不用说我吧。毕竟网站安全这方面，我不熟悉。

作者: tinjo 时间: 2010-1-25 11:19

[posted by wap, platform: Nokia]

爱上你了

作者: jun4rui 时间: 2010-1-25 11:24

你们网站是怎么做的啊？服务器放哪？什么操作系统？什么版本？软硬件防火墙都用啥？web服务器软件用啥？等等

作者: sijigh 时间: 2010-1-25 11:29

除了80,21,3389，3306以外，其他全部关闭，这玩意说白了，你讲顶楼的东西顶屁用，你什么系统，什么环境，什么维护方式，里面有什么都不讲………………

作者: veryend 时间: 2010-1-25 11:34

引用:

原帖由 sijigh 于 2010-1-25 11:29 发表
除了80,21,3389，3306以外，其他全部关闭，这玩意说白了，你讲顶楼的东西顶屁用，你什么系统，什么环境，什么维护方式，里面有什么都不讲………………

其实这问题LZ在顶楼已经讲的很清楚了,菊花卖给领导就可以了

作者: 爱撕衣李鸿章 时间: 2010-1-25 11:42

这便是爱啊

对外网就开放80端口，看看ASP .net代码有没有漏洞

作者: sijigh 时间: 2010-1-25 11:48

直接看IIS日志啊…………

作者: 猫猫熊 时间: 2010-1-25 11:49

谢谢各位热心回答，估计ASP代码有漏洞，但网站是N年前老站，单位也不肯花钱更新，我也没那个本事修改。所以确实挺杯具的。我先把端口封掉试试看再说。

想查IP，主要想试试能否查出谁干的。能找到人，警告一下就好了。毕竟惦记着来黑我们网站的人很少。

没说具体的东西，主要是不好意思讲，确实够垃圾。哈。系统是WIN2003盗版，用IIS发布的网站。

作者: 猫猫熊 时间: 2010-1-25 11:50

引用:

原帖由 sijigh 于 2010-1-25 11:48 发表
直接看IIS日志啊…………

谢谢，我去瞧瞧。

作者: snake_kage 时间: 2010-1-25 11:53

有钱的话，上主页防止篡改系统。

傻子和领导划了等号

作者: kevan 时间: 2010-1-25 12:28

[posted by wap, platform: Firefox]

最简单的可行方法：直接在数据库的代码里加入全局检测函数即可！

本帖最后由 kevan 于 2010-1-25 12:41 通过手机版编辑

作者: kevan 时间: 2010-1-25 12:30

[posted by wap, platform: Nokia]

但是我的前提是必须清除掉服务器上的程序木马！你说的情况有可能服务器已经被传了程序木马哦

作者: 猫猫熊 时间: 2010-1-25 12:39

引用:

原帖由 kevan 于 2010-1-25 12:30 发表
[posted by wap, platform: Nokia]

但是我的前提是必须清除掉服务器上的程序木马！你说的情况有可能服务器已经被传了程序木马哦

收到，杀毒先！：）

作者: kevan 时间: 2010-1-25 12:43

[posted by wap, platform: Firefox]

我所说的程序木马是ASP.JSP,PHP之类的程序代码！可能杀毒软件无法识别出来的哦！
你先初步搜索服务器最近的文件更新时间应该可以辨认出来，高级一点的会修改文件的更新时间。这个就得你慢慢排查了！

作者: 猫猫熊 时间: 2010-1-25 12:55

引用:

原帖由 kevan 于 2010-1-25 12:43 发表
[posted by wap, platform: Firefox]

我所说的程序木马是ASP.JSP,PHP之类的程序代码！可能杀毒软件无法识别出来的哦！
你先初步搜索服务器最近的文件更新时间应该可以辨认出来，高级一点的会修改文件的更新时间。这 ...

谢谢指教

作者: 猫猫熊 时间: 2010-1-25 13:13

我正折腾的时候，又被黑一次，这回搞笑了，发现有两帮人在黑我们网站，还互相较劲。寒死我了。

今天中午的留言：“我也来玩玩！那个叫什么飞的不要太牛B！本网站存在SQL漏洞希望尽快修复！以免再被黑！黑基 By : DX黑 %> ”

我大概查了一下，SQL漏洞貌似是：login.asp远程sql注入漏洞？

年底事情又多，还摊上这事情，真是烦死了。求教上述漏洞简单修复方法？关键就怕这个洞补上，再有另外一个洞。MD，等我搞完了，也成高手了。

[ 本帖最后由猫猫熊于 2010-1-25 13:14 编辑 ]

作者: otz 时间: 2010-1-25 13:19

[posted by wap, platform: Nokia (E71)]

砍号重练

作者: voodoo 时间: 2010-1-25 13:20

一看就知道asp程序没写防sql注入的代码

作者: sijigh 时间: 2010-1-25 13:27

最笨的办法，文件对比，看哪些文件是最新创建而不是你自己创建的。我估计那种白痴孩子也不会修改上传上来文件的时间。木马用杀毒软件杀没用。杀毒软件根本就认不出。

作者: kevan 时间: 2010-1-25 13:28

[posted by wap, platform: Firefox]

voodoo说的不全，他说的是那个简单的解决方法，不是每个网站都必须要写防注入的代码！
例如用参数化即可，还有精确每个参数的类型，考虑到每个参数的异常范围处理即可。
也就是说是功能上本来就没想到这些“异常”，当然大家都是过来人，都是菜鸟起步，需要知道为什么会这样？为什么能这样？

本帖最后由 kevan 于 2010-1-25 13:31 通过手机版编辑

作者: 猫猫熊 时间: 2010-1-25 13:46

我有其他工作，网站只是顺带管理维护，所以碰到这种情况不懂得处理。多谢各位专业人士指点。
这网站也不是我做的，所以要修改代码什么的，确实有难度，也没时间。
我现在想了个笨办法，我把登录页面所在文件夹改名了，这样不影响浏览，等我要发新闻的时候，再改回来。这样他找不到登录页，是否就不会入侵？

作者: cc0128 时间: 2010-1-25 13:48

sql注入啊。
加上防止注入代码
就会是把用户写得'和%啥都改为对应的转义字符。

[ 本帖最后由 cc0128 于 2010-1-25 13:49 编辑 ]

作者: 猫猫熊 时间: 2010-1-25 13:55

引用:

原帖由 cc0128 于 2010-1-25 13:48 发表
sql注入啊。
加上防止注入代码
就会是把用户写得'和%啥都改为对应的转义字符。

谢谢！最近比较忙，等我有空再研究！

作者: 猫猫熊 时间: 2010-1-25 13:56

引用:

原帖由 cc0128 于 2010-1-25 13:48 发表
sql注入啊。
加上防止注入代码
就会是把用户写得'和%啥都改为对应的转义字符。

谢谢！最近比较忙，等我有空再研究！

作者: hhhiro 时间: 2010-1-25 14:08

这不是好机会么？可以名正言顺向领导要求经费更新设备，提高维护成本

作者: jun4rui 时间: 2010-1-25 14:28

估计楼主搞不定，我原来也维护过公司的ASP，唉，那个垃圾啊。你根本清理不完的，放弃吧

最后我砍掉重新用PHP练过才好

作者: 蜜桃精小勺 时间: 2010-1-25 14:33

lz啊，这机会多难得啊

赶紧买套网页防篡改系统阿，目录价1折可以买到
然后上个硬件风火墙

赚钱机会，请珍惜

作者: kevan 时间: 2010-1-25 14:50

[posted by wap, platform: Firefox]

鄙视 jun4rui 搞分裂，有你这么黑ASP的吗？PHP虽好，但是你总不能全赖人家好不好！！！

作者: squallySP 时间: 2010-1-25 14:54

31楼是正道

另，LZ和黑客版聊，建立私人友谊吧

作者: Redofish 时间: 2010-1-25 16:19

买防火墙，做采购的好机会

作者: kiler 时间: 2010-1-25 16:38

这是最简单的攻击方式了（这种攻击方式都有教程的），利用程序漏洞攻击，买防火墙没有的用。
如果网站是asp + sqlserver的话
lz按以下方式处理一下把。
下载一个放注入代码，include到你的所有页面里，一般来说，asp网站都有一个conn.asp文件，你include到那个文件就行了。
http://www.hackbase.com/subject/2009-02-27/14200.html
数据库的用户要设置一下，不要让asp网站用sa用户，新建一个用户，设置为网站数据库的db_owner,删除数据库中的xp_cmdshell存储过程（这个是一个大漏洞，删除方法自行google）
这么弄一下基本可以挡住菜鸟级的黑客了。

作者: kiler 时间: 2010-1-25 16:42

对了，赶快清理一下你服务器的帐号，看看有没有可疑的帐号（这些帐号可以隐藏起来的，用户管理界面是看不到的），说不定人家已经在你们公司的服务器上创建了用户，不清理掉这些帐号，你再怎么处理也是白搭。

作者: jun4rui 时间: 2010-1-25 16:47

引用:

原帖由 kevan 于 2010-1-25 14:50 发表
[posted by wap, platform: Firefox]

鄙视 jun4rui 搞分裂，有你这么黑ASP的吗？PHP虽好，但是你总不能全赖人家好不好！！！

好吧，其实偶不太会ASP

而且我当初维护的那套ASP原来维护的人很无耻把将其关键代码编译成了DLL还加密了，搞的后来我问数据库密码都没人知道

作者: kevan 时间: 2010-1-25 16:49

[posted by wap, platform: Firefox]

支持killer。高手~~~

作者: 猫猫熊 时间: 2010-1-25 17:09

引用:

原帖由 kiler 于 2010-1-25 16:38 发表
这是最简单的攻击方式了（这种攻击方式都有教程的），利用程序漏洞攻击，买防火墙没有的用。
如果网站是asp + sqlserver的话
lz按以下方式处理一下把。
下载一个放注入代码，include到你的所有页面里，一般来说， ...

谢谢专家指点！

作者: larryson 时间: 2010-1-25 18:38

看下sql语句写的方式，如果字符串拼接的sql语句很容易被搞定
页面上的输入项有没有在程序内作检验
url里的querystring有没有作检验
页面错误是否被捕获
一些有radio button和check box的form在提交到服务器时有没有作检验

欢迎光临 TGFC Lifestyle (http://club.tgfcer.com/)