第一次遭遇入侵
1. 入侵現象:2004年春節,網站的公告欄上突然出現“此論壇有漏洞,請管理員修復”的內容,并被粘貼了一張圖片。
2. 處理問題的過程:首先想到的是以為存在某個Windows 2000漏洞,于是就先刪除這條內容,然后對Windows 2000服務器重新安裝升級補丁,完成更嚴格的安全設置并更換了全套密碼。自以為可以高枕無憂了,不料沒過幾天,公告板上再次出現黑客的警告“你的漏洞依然存在,我可以告訴你問題所在,但作為回報我要你網站的源代碼”。
3. 入侵原理:我當然不會輕易就范,經過查閱資料最后發現原來漏洞是SQL致命的“單引號注入”。入侵原理如下:在網站后臺管理登錄頁面用戶密碼認證時,如果用戶在“UserID”輸入框內輸入“Everybody”,在密碼框里輸入“anything' or 1='1”,查詢的SQL語句就變成了:Select ? from user where username='everyboby' and password='anything' or 1='1'。不難看出,由于“1='1'”是一個始終成立的條件,判斷返回為“真”,Password的限制形同虛設,不管用戶的密碼是不是Anything,他都可以以Everybody的身份遠程登錄,獲得后臺管理權,在公告欄發布任何信息。
4. 解決方法:用replace函數屏蔽單引號。
select ? from user where username='&&replace(request.form("UserID"),',")&&' and password=' &&replace(request.form
("Pass"),',")&&
再次被入侵
有了第一次被入侵的經歷,事后幾周我心里一直忐忑不安,但不幸還是發生了。
1. 入侵現象:一天,突然發現網站的主頁文件和數據庫部分數據被刪除,從入侵的痕跡分析是同一黑客所為。
2. 處理問題的過程:首先查看系統日志、SQL的日志,沒有發現價值的線索,采用X-Scan、木馬克星和瑞星殺毒軟件自帶的系統漏洞掃描工具進行掃描,系統沒有嚴重的安全漏洞,于是問題的查找陷入了困境,幸好網站有完整的備份數據,最后只能先恢復網站的正常運行。巧的是在一周后一次通過后臺管理上載文件的過程中,發現有人上載過cmd.asp、mun.asp和1.bat三個文件的操作痕跡,時間為第一次入侵期間。但機器硬盤上已無法查找到這三個文件,這是木馬程序,顯然這黑客比較專業,在入侵完成后自己清理了戰場,但還是在網站上載記錄中留下了線索,否則管理員根本無從知曉。
3. 入侵原理:cmd.asp、mun.asp是木馬程序,經過翻閱大量資料顯示這類木馬為ASP木馬,屬于有名的海陽頂端ASP木馬的一種,這類木馬一旦被復制到網站的虛擬目錄下,遠端只要用IE瀏覽器打開該ASP文件,就可以在Web界面上輕松地控制該計算機執行任何操作。我在網上下載了一個ASP木馬,模擬測試了一下,功能非常強大,能實現遠程文件上傳下載、刪除、用戶添加、文件修改和程序遠程執行等操作。1.bat文件為批處理文件,內容根據需要寫入一組程序執行命令在遠程計算機上實現自動執行。顯然,這個木馬是在黑客第一次入侵時就放上去的,一旦網管員沒按他的要求就范,就可以輕松地再次實施攻擊。
4. 解決方法:為了防止仍有隱藏很深的木馬,確保萬無一失,我重新安裝了Windows2000系統,并更換了全套用戶名,密碼。
第三次被入侵的分析
1. 入侵現象:2004年10月,網站再次遭到入侵。這天我在圖片新聞欄目中突然發現一條圖片新聞被去年一條舊的內容所替代,當客戶端點擊該新聞圖片時,瑞星殺毒監控系統報警發現病毒,顯然網站已被入侵并被植入帶病毒的圖片,這是一種以圖片文件格式作為掩護的木馬病毒,用戶一旦點擊該圖片,病毒就被植入C:\Windows\Temporary Internet Files目錄下,這是一起惡性黑客入侵事件,從其手法上看為另一黑客所為。
2. 處理問題的過程:有了前兩次被入侵的教訓,我養成經常了解有關系統安全漏洞信息的習慣,并定期進行系統UPDATE,因此利用系統漏洞入侵的可能性不大。而該置入的圖片是放入SQL數據庫內的,這說明黑客利用了網站后臺管理功能實現圖片上傳,而這需要合法的用戶密碼才行。我設定的用戶名和密碼不容易被破解,那么只有一條途徑,即黑客通過某種特定的方式拿到了放在SQL數據庫表中的后臺管理用戶名和密碼。有了這個思路,我在互聯網上研讀了大量相關資料,最后鎖定本次受到的攻擊為“SQL注入式入侵”。
3. 入侵原理:SQL注入的原理,是客戶端從正常的WWW端口提交特殊的代碼,利用返回的錯誤提示,收集程序及服務器的信息,從而獲取想得到的資料。
4. 解決方法:在ASP程序提取數據庫表單內容的“select * from”語句前增加一條關閉SQL出錯信息的顯示語句“on error resume next”,如
on error resume next
rs.Open "select ? from xinwen where xw_id="&&request.QueryString ("xw_id"),conn,1,3
