卡卡網(wǎng)

當(dāng)網(wǎng)站被黑客入侵后，管理員要迫切做哪些工作？當(dāng)然是先盡可能快地找出入侵入口，找出哪個(gè)地方被利用了，進(jìn)而加以防范。本文記錄了某論壇被入侵后，管理員是如何快速找到黑客入侵入口并修補(bǔ)漏洞的，他的處理經(jīng)驗(yàn)值得大家學(xué)習(xí)。

發(fā)現(xiàn)異常

早上起來，像往常一樣打開論壇，發(fā)現(xiàn)進(jìn)不去，趕緊上 QQ 準(zhǔn)備聯(lián)系服務(wù)器管理員，卻發(fā)現(xiàn)服務(wù)器管理員已經(jīng)給我留言：

發(fā)現(xiàn)論壇被入侵

查找病毒文件

論壇被入侵后，首要任務(wù)是找出病毒文件。

查找病毒文件（點(diǎn)擊圖片放大）

看這張查出木馬的截圖，原來是 php 木馬。

如果不用軟件查找，也可以自己觀察網(wǎng)站各文件的修改時(shí)間，判斷是否病毒文件或被病毒感染文件。

那這些文件又是如何上傳到服務(wù)器的呢？

分析網(wǎng)站日志

這個(gè)時(shí)候才知道網(wǎng)站日志的重要性，所以網(wǎng)站日志千萬不要關(guān)閉，且至少要保留2周的日志記錄。

由于網(wǎng)站首頁被篡改，所以通過首頁文件（index.html）的最后修改時(shí)間，去分析網(wǎng)站日志。

首頁修改時(shí)間

根據(jù)文件修改時(shí)間（日志內(nèi)使用的是UTC時(shí)間，日志里的時(shí)間要減8小時(shí)），在日志內(nèi)找到的相關(guān)操作：

2013-06-21 14:03:11 W3SVC129 123.157.149.29 POST /demo/upload/635074464204358063_ice.aspx action=edit&src=D%3a%5cHostingSpaces%5cfineuico%5cfineui.s1.kingidc.net%5cwwwroot%5c%5cindex.html 80 - 222.136.235.23 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0) 200 0 0 10497 48738 1008

顯然，這個(gè)人222.136.235.23在站點(diǎn)內(nèi)利用上傳功能上傳進(jìn)了一個(gè)aspx木馬篡改了首頁文件。

/demo/upload/635074464204358063_ice.aspx

不得不看看 /demo/upload/ 這個(gè)目錄，果然，在這個(gè)目錄內(nèi)發(fā)現(xiàn)了個(gè)可疑文件。

可疑文件

只分析該IP的訪問日志

在日志文件里不斷查找這個(gè)IP 222.136.235.23 的訪問記錄，發(fā)現(xiàn)他之前一直在 /demo/form/fileupload.aspx 這個(gè)頁面上傳文件。

從 338行 post了一個(gè)數(shù)據(jù)之后，就成功將他aspx木馬傳入了你的upload目錄內(nèi)：

13:08:09  POST  /demo/form/fileupload.aspx
13:08:13  GET  /demo/upload/635074456895620028_safer.aspx
13:08:16  GET  /demo/upload/635074456895620028_safer.aspx

確定入侵入口

立即測試了一下 /demo/form/fileupload.aspx 這個(gè)頁面，上傳php，aspx文件都可以，而且傳了后，文件路徑就在下方輸出的圖片路徑內(nèi)可以獲取。

成功上傳php文件

至此，入侵入口得以確定。

修補(bǔ)漏洞

為了防止有人繼續(xù)用這個(gè)漏洞傳入木馬或者篡改數(shù)據(jù)，把該文件名重命名。

/demo/form/fileupload.aspx -> /demo/form/fileupload__.aspx

再修改上傳代碼，對上傳文件類型加以判斷。

檢查系統(tǒng)用戶

修復(fù)了漏洞之后，不能以為就此完事，因?yàn)槿肭终吆芸赡軐Ψ?wù)器或網(wǎng)站做了其他一些操作，比較常見的添加一個(gè)管理員帳號。

此時(shí)，服務(wù)器管理員必須檢查一次系統(tǒng)用戶，把異常帳號刪除，并把所有用戶重新命名和更改密碼。

此外，網(wǎng)站后臺管理員帳號也要檢查一遍，把異常帳號刪除，并把所有管理員帳號重新命名和更改密碼。

總結(jié)

通過本文的分享，讓大家知道一旦網(wǎng)站出現(xiàn)入侵，該如何去開展工作，而不是一籌莫展。

一般來說，入侵入口多是涉及用戶輸入和用戶上傳的地方，所以代碼的安全性相當(dāng)重要。

最后，我不得不說一下，該論壇的安全設(shè)置是有一點(diǎn)問題的，管理員犯了多數(shù)人都犯的錯(cuò)誤，那就是允許了上傳目錄執(zhí)行腳本。服務(wù)器安全設(shè)置中，必須禁止上傳目錄執(zhí)行腳本。

標(biāo)簽: 黑客  入侵