Board logo

标题: [电脑] 两帮人一起黑我们单位网站,真欢乐! [打印本页]

作者: 猫猫熊    时间: 2010-1-25 11:02     标题: 两帮人一起黑我们单位网站,真欢乐!

已经半个月了,隔三差五跑来折腾一下,先是修改了单位介绍,然后又改其他东西,今天好,把主页全部换掉了。MD,我们单位网站,也就这白痴和我们领导会看,这不是害苦了我么。

各位高人知道哪个软件可以监测来访IP的? 遇到白痴真是没话讲。o(︶︿︶)o 唉。还自以为黑客,真是添乱。



中午我正折腾的时候,又被黑一次,这回搞笑了,发现有两帮人在黑我们网站,还互相较劲。寒死我了。

今天中午的留言:“我也来玩玩!那个叫什么飞的不要太牛B!本网站存在SQL漏洞希望尽快修复!以免再被黑! 黑基 By : DX黑 %> ”

我大概查了一下,SQL漏洞貌似是:login.asp远程sql注入漏洞 ?

年底事情又多,还摊上这事情,真是烦死了。求教上述漏洞简单修复方法? 关键就怕这个洞补上,再有另外一个洞。MD,等我搞完了,也成高手了。

[ 本帖最后由 猫猫熊 于 2010-1-25 13:17 编辑 ]
作者: bsseven    时间: 2010-1-25 11:10

LZ连人家练手的初黑都干不过还有脸过来发牢骚?
作者: 我不懂    时间: 2010-1-25 11:13

你是不是得罪谁了?
作者: 猫猫熊    时间: 2010-1-25 11:18

引用:
原帖由 bsseven 于 2010-1-25 11:10 发表
LZ连人家练手的初黑都干不过还有脸过来发牢骚?
你看我提的问题不就是不懂嘛,你知道就回答,不知道也不用说我吧。 毕竟网站安全这方面,我不熟悉。
作者: tinjo    时间: 2010-1-25 11:19

[posted by wap, platform: Nokia]

爱上你了
作者: jun4rui    时间: 2010-1-25 11:24

你们网站是怎么做的啊?服务器放哪?什么操作系统?什么版本?软硬件防火墙都用啥?web服务器软件用啥?等等
作者: sijigh    时间: 2010-1-25 11:29

除了80,21,3389,3306以外,其他全部关闭,这玩意说白了,你讲顶楼的东西顶屁用,你什么系统,什么环境,什么维护方式,里面有什么都不讲………………
作者: veryend    时间: 2010-1-25 11:34

引用:
原帖由 sijigh 于 2010-1-25 11:29 发表
除了80,21,3389,3306以外,其他全部关闭,这玩意说白了,你讲顶楼的东西顶屁用,你什么系统,什么环境,什么维护方式,里面有什么都不讲………………
其实这问题LZ在顶楼已经讲的很清楚了,菊花卖给领导就可以了
作者: 爱撕衣李鸿章    时间: 2010-1-25 11:42

这便是爱啊

对外网就开放80端口,看看ASP .net代码有没有漏洞
作者: sijigh    时间: 2010-1-25 11:48

直接看IIS日志啊…………
作者: 猫猫熊    时间: 2010-1-25 11:49

谢谢各位热心回答,估计ASP代码有漏洞,但网站是N年前老站,单位也不肯花钱更新,我也没那个本事修改。所以确实挺杯具的。我先把端口封掉试试看再说。

想查IP,主要想试试能否查出谁干的。能找到人,警告一下就好了。毕竟惦记着来黑我们网站的人很少。

没说具体的东西,主要是不好意思讲,确实够垃圾。哈。 系统是WIN2003盗版,用IIS发布的网站。
作者: 猫猫熊    时间: 2010-1-25 11:50

引用:
原帖由 sijigh 于 2010-1-25 11:48 发表
直接看IIS日志啊…………
谢谢,我去瞧瞧。
作者: snake_kage    时间: 2010-1-25 11:53

有钱的话,上主页防止篡改系统。

傻子和领导划了等号
作者: kevan    时间: 2010-1-25 12:28

[posted by wap, platform: Firefox]

最简单的可行方法:直接在数据库的代码里加入全局检测函数即可!

本帖最后由 kevan 于 2010-1-25 12:41 通过手机版编辑
作者: kevan    时间: 2010-1-25 12:30

[posted by wap, platform: Nokia]

但是我的前提是必须清除掉服务器上的程序木马!你说的情况有可能服务器已经被传了程序木马哦
作者: 猫猫熊    时间: 2010-1-25 12:39

引用:
原帖由 kevan 于 2010-1-25 12:30 发表
[posted by wap, platform: Nokia]

但是我的前提是必须清除掉服务器上的程序木马!你说的情况有可能服务器已经被传了程序木马哦
收到,杀毒先!:)
作者: kevan    时间: 2010-1-25 12:43

[posted by wap, platform: Firefox]

我所说的程序木马是ASP.JSP,PHP之类的程序代码!可能杀毒软件无法识别出来的哦!
你先初步搜索服务器最近的文件更新时间应该可以辨认出来,高级一点的会修改文件的更新时间。这个就得你慢慢排查了!
作者: 猫猫熊    时间: 2010-1-25 12:55

引用:
原帖由 kevan 于 2010-1-25 12:43 发表
[posted by wap, platform: Firefox]

我所说的程序木马是ASP.JSP,PHP之类的程序代码!可能杀毒软件无法识别出来的哦!
你先初步搜索服务器最近的文件更新时间应该可以辨认出来,高级一点的会修改文件的更新时间。这 ...
谢谢指教
作者: 猫猫熊    时间: 2010-1-25 13:13

我正折腾的时候,又被黑一次,这回搞笑了,发现有两帮人在黑我们网站,还互相较劲。寒死我了。

今天中午的留言:“我也来玩玩!那个叫什么飞的不要太牛B!本网站存在SQL漏洞希望尽快修复!以免再被黑! 黑基 By : DX黑 %> ”

我大概查了一下,SQL漏洞貌似是:login.asp远程sql注入漏洞 ?

年底事情又多,还摊上这事情,真是烦死了。求教上述漏洞简单修复方法? 关键就怕这个洞补上,再有另外一个洞。MD,等我搞完了,也成高手了。

[ 本帖最后由 猫猫熊 于 2010-1-25 13:14 编辑 ]
作者: otz    时间: 2010-1-25 13:19

[posted by wap, platform: Nokia (E71)]

砍号重练
作者: voodoo    时间: 2010-1-25 13:20

一看就知道asp程序没写防sql注入的代码
作者: sijigh    时间: 2010-1-25 13:27

最笨的办法,文件对比,看哪些文件是最新创建而不是你自己创建的。我估计那种白痴孩子也不会修改上传上来文件的时间。木马用杀毒软件杀没用。杀毒软件根本就认不出。
作者: kevan    时间: 2010-1-25 13:28

[posted by wap, platform: Firefox]

voodoo说的不全,他说的是那个简单的解决方法,不是每个网站都必须要写防注入的代码!
例如用参数化即可,还有精确每个参数的类型,考虑到每个参数的异常范围处理即可。
也就是说是功能上本来就没想到这些“异常”,当然大家都是过来人,都是菜鸟起步,需要知道为什么会这样?为什么能这样?

本帖最后由 kevan 于 2010-1-25 13:31 通过手机版编辑
作者: 猫猫熊    时间: 2010-1-25 13:46

我有其他工作,网站只是顺带管理维护,所以碰到这种情况不懂得处理。多谢各位专业人士指点。
这网站也不是我做的,所以要修改代码什么的,确实有难度,也没时间。
我现在想了个笨办法,我把登录页面所在文件夹改名了,这样不影响浏览,等我要发新闻的时候,再改回来。这样他找不到登录页,是否就不会入侵?
作者: cc0128    时间: 2010-1-25 13:48

sql注入啊。
加上防止注入代码
就会是把用户写得'和%啥都改为对应的转义字符。

[ 本帖最后由 cc0128 于 2010-1-25 13:49 编辑 ]
作者: 猫猫熊    时间: 2010-1-25 13:55

引用:
原帖由 cc0128 于 2010-1-25 13:48 发表
sql注入啊。
加上防止注入代码
就会是把用户写得'和%啥都改为对应的转义字符。
谢谢!最近比较忙,等我有空再研究!
作者: 猫猫熊    时间: 2010-1-25 13:56

引用:
原帖由 cc0128 于 2010-1-25 13:48 发表
sql注入啊。
加上防止注入代码
就会是把用户写得'和%啥都改为对应的转义字符。
谢谢!最近比较忙,等我有空再研究!
作者: hhhiro    时间: 2010-1-25 14:08

这不是好机会么?可以名正言顺向领导要求经费更新设备,提高维护成本
作者: jun4rui    时间: 2010-1-25 14:28

估计楼主搞不定,我原来也维护过公司的ASP,唉,那个垃圾啊。你根本清理不完的,放弃吧


最后我砍掉重新用PHP练过才好
作者: 蜜桃精小勺    时间: 2010-1-25 14:33

lz啊,这机会多难得啊

赶紧买套 网页防篡改 系统阿,目录价1折可以买到
然后上个硬件风火墙

赚钱机会,请珍惜
作者: kevan    时间: 2010-1-25 14:50

[posted by wap, platform: Firefox]

鄙视 jun4rui 搞分裂,有你这么黑ASP的吗?PHP虽好,但是你总不能全赖人家好不好!!!
作者: squallySP    时间: 2010-1-25 14:54

31楼是正道

另,LZ和黑客版聊,建立私人友谊吧
作者: Redofish    时间: 2010-1-25 16:19

买防火墙,做采购的好机会
作者: kiler    时间: 2010-1-25 16:38

这是最简单的攻击方式了(这种攻击方式都有教程的),利用程序漏洞攻击,买防火墙没有的用。
如果网站是asp + sqlserver的话
lz按以下方式处理一下把。
下载一个放注入代码,include到你的所有页面里,一般来说,asp网站都有一个conn.asp文件,你include到那个文件就行了。
http://www.hackbase.com/subject/2009-02-27/14200.html
数据库的用户要设置一下,不要让asp网站用sa用户,新建一个用户,设置为网站数据库的db_owner,删除数据库中的xp_cmdshell存储过程(这个是一个大漏洞,删除方法自行google)
这么弄一下基本可以挡住菜鸟级的黑客了。
作者: kiler    时间: 2010-1-25 16:42

对了,赶快清理一下你服务器的帐号,看看有没有可疑的帐号(这些帐号可以隐藏起来的,用户管理界面是看不到的),说不定人家已经在你们公司的服务器上创建了用户,不清理掉这些帐号,你再怎么处理也是白搭。
作者: jun4rui    时间: 2010-1-25 16:47

引用:
原帖由 kevan 于 2010-1-25 14:50 发表
[posted by wap, platform: Firefox]

鄙视 jun4rui 搞分裂,有你这么黑ASP的吗?PHP虽好,但是你总不能全赖人家好不好!!!
好吧,其实偶不太会ASP

而且我当初维护的那套ASP原来维护的人很无耻把将其关键代码编译成了DLL还加密了,搞的后来我问数据库密码都没人知道
作者: kevan    时间: 2010-1-25 16:49

[posted by wap, platform: Firefox]

支持killer。高手~~~
作者: 猫猫熊    时间: 2010-1-25 17:09

引用:
原帖由 kiler 于 2010-1-25 16:38 发表
这是最简单的攻击方式了(这种攻击方式都有教程的),利用程序漏洞攻击,买防火墙没有的用。
如果网站是asp + sqlserver的话
lz按以下方式处理一下把。
下载一个放注入代码,include到你的所有页面里,一般来说, ...
谢谢专家指点!
作者: larryson    时间: 2010-1-25 18:38

看下sql语句写的方式,如果字符串拼接的sql语句很容易被搞定
页面上的输入项有没有在程序内作检验
url里的querystring有没有作检验
页面错误是否被捕获
一些有radio button和check box的form在提交到服务器时有没有作检验




欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/) Powered by Discuz! 6.0.0