剖析网站遭遇的***的三次***

随着教育信息化进程的推进,各类教育网站大量涌现。由于教育网站大多是学校计算机教师自己开发管理的小型网站,普通存在着设备、技术、专业人员不足的问题,网站自身存在漏洞,常常成为******的目标,严重影响了正常业务的开展。这里,笔者希望通过对教育网站所遭遇的三次******的剖析,来分析***常用的***方法和手段。

  第一次遭遇***

  1. ***现象:2004年春节,网站的公告栏上突然出现此论坛有漏洞,请管理员修复的内容,并被粘贴了一张图片。

  2. 处理问题的过程:首先想到的是以为存在某个Windows 2000漏洞,于是就先删除这条内容,然后对Windows 2000服务器重新安装升级补丁,完成更严格的安全设置并更换了全套密码。自以为可以高枕无忧了,不料没过几天,公告板上再次出现***的警告你的漏洞依然存在,我可以告诉你问题所在,但作为回报我要你网站的源代码

  3. ***原理:我当然不会轻易就范,经过查阅资料最后发现原来漏洞是 SQL致命的单引号注入。***原理如下:在网站后台管理登录页面用户密码认证时,如果用户在“UserID”输入框内输入“Everybody”,在 密码框里输入“anything' or 1='1”,查询的SQL语句就变成了:Select  from user where username='everyboby' and password='anything' or 1='1'。不难看出,由于“1='1'”是一个始终成立的条件,判断返回为Password的限制形同虚设,不管用户的密码是不是 Anything,他都可以以Everybody的身份远程登录,获得后台管理权,在公告栏发布任何信息。

  4. 解决方法:用replace函数屏蔽单引号。

   select  from user where username='&replace(request.form("UserID"),',")&&' and password=' &replace(request.form

  ("Pass"),',")&&
  再次被***

  有了第一次被***的经历,事后几周我心里一直忐忑不安,但不幸还是发生了。

  1. ***现象:一天,突然发现网站的主页文件和数据库部分数据被删除,从***的痕迹分析是同一***所为。

  2. 处理问题的过程:首先查看系统日志、SQL的日志,没有发现价值的线索,采用X-Scan、***克星和瑞星杀毒软件自带的系统漏洞扫描工具进行扫描,系统没有严重的安全漏洞 于是问题的查找陷入了困境,幸好网站有完整的备份数据,最后只能先恢复网站的正常运行。巧的是在一周后一次通过后台管理上载文件的过程中,发现有人上载过 cmd.aspmun.asp1.bat三个文件的操作痕迹,时间为第一次***期间。但机器硬盘上已无法查找到这三个文件,这是***程序,显然这***比较专业,在***完成后自己清理了战场,但还是在网站上载记录中留下了线索,否则管理员根本无从知晓。

  3. ***原理:cmd.aspmun.asp***程序,经过翻阅大量资料显示这类***ASP***,属于有名的海阳顶端ASP***的一种,这类***一旦被复制到网站的虚拟目录下,远端只要用IE浏览器打开该ASP文件,就可以在Web界面上轻松地控制该计算机执行任何操作。我在网上下载了一个ASP***,模拟测试了一下,功能非常强大,能实现远程文件上传下载、删除、用户添加、文件修改和程序远程执行等操作。1.bat文件为批处理文件,内容根据需要写入一组程序执行命令在远程计算机上实现自动执行。显然,这个***是在***第一次***时就放上去的,一旦网管员没按他的要求就范,就可以轻松地再次实施***。

  4. 解决方法:为了防止仍有隐藏很深的***,确保万无一失,我重新安装了Windows2000系统,并更换了全套用户名,密码。