网站被入侵,木马为十三WEBSHELL,全站文件被下载,怎么办?

hacker18 2008-10-14 07:10:42
客户网站:http://www.nnjzw.cn/
起因:有人也要经营兼职网站,由于nnjzw运营和发展良好,并且此类人不愿向任何一家从事网站建设业务的公司支付高额的开发费用,所以谋求入侵和下载。现在在百度中搜索“兼职网 源码”等关键词找到的程序,大部分是此站的新、旧版整站文件的压缩包文件。
防范:网站经历两次改版和升级,每次升级后都被入侵,第二次升级后,删除了动网论坛7.1,管理员和会员登录后进入每个管理页面都要验证帐户,文件上传程序加入了检测文件名后缀(参考动网论坛7.1)、读取并检测文件内容是否包含有害字符(即使是JPG图片文件,也要打开检查全文,故而运行性能有些低下)、任何会员和管理员上传的文件都会有记录、管理员也对上传文件保持高度的警惕和监测。
过程和结果分析:无法确切得知入侵者的入侵方式,可能存在的方式有文件上传(未发现有可疑的文件上传记录,要么不是会员上传,要么是达到目的后删除记录)、SQL注入、利用主机漏洞等,木马文件logs.asp(十三WEBSHELL)将全站压缩并下载。发生时间为2008-10-12 16:00至17:40左右,执行木马的IP为广东,而下载RAR的IP为山东。
无助:虚拟主机的database目录并不安全,只限制web方式不可以访问,只防君子不防小人,木马仍然可以访问和操作。设为只读是不现实的,因为数据库文件时刻在被ASP程序写入。换成SQL Server也不安全,木马可以查看conn.asp的内容。请教解决办法,主要是防木马和保护文件、目录的方法。
先谢了!
...全文
860 47 打赏 收藏 转发到动态 举报
写回复
用AI写文章
47 条回复
切换为时间正序
请发表友善的回复…
发表回复
  • 打赏
  • 举报
回复
不知您是否能进行托管主机、或者请主机供应商进行整机合作, 如可以的话,我们现有的2款Web保护类产品可从不同方面帮您做到防木马、防源码,因为需要安装在Windows物理机上,请理解这是需要windows驱动层来做的;

Web虎-B/S应用版权、源码、数据综合保护系统,http://euse.cn/solution/rc.htm

Web保-网页防篡改自动实时恢复系统,http://euse.cn/solution/wp.htm
(最好效果是您那编辑、更新不是特别频繁,因为当前版本需要手工开启、关闭文件、目录保护,后继版本将会提高这块功能)
Fufuokcom 2008-10-17
  • 打赏
  • 举报
回复
看情况可能是被SQL注入以查看或更改管理员账号。可以加一些通用防注入到conn里使用。
或有上传漏洞被上传了文件木马文件或图片,你们没有被发现并及时清除而被入侵者取得了FSO权限。检查最近生成的文件有无可疑文件或图片,注意服务器和IIS安全设置,图片文件夹等不要具有执行脚本的权限。
hacker18 2008-10-17
  • 打赏
  • 举报
回复
切记关闭文本编辑器上传!
------------------------
正文内容需要图文混排,关闭编辑器的图片上传功能,怎么实现这个功能?做好文件上传程序安全检测就行了。
lang11zi 2008-10-17
  • 打赏
  • 举报
回复
切记关闭文本编辑器上传!
khjian 2008-10-17
  • 打赏
  • 举报
回复
权限问题,服务器权限设置是一门学问
chsi168 2008-10-17
  • 打赏
  • 举报
回复
[Quote=引用 26 楼 Taki_CN 的回复:]
刚去看了下,这个网站也太不友好了
http://www.nnjzw.cn/inc/member_upload.asp
直接输入这个网址,竟然提示是"警告:您正在进行自制本地表单攻击服务器,操作已被记录!IP:2**.2*4.1*2.2*7"
本来还想帮你看下什么问题,是否可以通过上传文件写入木马.现在我也没心情了.
[/Quote]

这种东西居然还真有人信
Jarvis-Li 2008-10-16
  • 打赏
  • 举报
回复
表同情
zhihuixiaole 2008-10-16
  • 打赏
  • 举报
回复
piao guo
chilun 2008-10-16
  • 打赏
  • 举报
回复
帮顶~好站才有人惦记
mingday 2008-10-16
  • 打赏
  • 举报
回复
[Quote=引用 15 楼 changechange 的回复:]
1、将所有逻辑代码用 VB6 编译,加壳,加密,限制URL,下载了也没用

2、用极其奇怪的逻辑方式编排网站,文件位置乱放,DLL做它10-20个,乱放在服务器上的任何文件夹内,不要放在网站文件夹内,使用时反正都有createobject,除非对方整个服务器硬盘一起COPY走。
[/Quote]


我看行
不耐烦 2008-10-16
  • 打赏
  • 举报
回复
全站源文件???
服务器被攻陷了吧 呵呵

up
niwen85 2008-10-16
  • 打赏
  • 举报
回复
[Quote=引用 4 楼 chinmo 的回复:]
安全这个问题不是绝对啊

呵呵,淘宝网等有名的都被人入侵过!别说你们这些网了
[/Quote]
ding
qnqvsp 2008-10-16
  • 打赏
  • 举报
回复
被攻击。说明你的网站做的相当的成功了。
king_1984 2008-10-16
  • 打赏
  • 举报
回复
关注,黑客总是领先一步。呵呵!!
yingzi0011 2008-10-16
  • 打赏
  • 举报
回复
[Quote=引用 21 楼 hacker18 的回复:]
全站一律使用session。服务器托管与虚拟主机相比,在安全和管理上有什么本质的区别?
[/Quote]

旁注,,,全被黑。。
  • 打赏
  • 举报
回复
[Quote=引用 38 楼 hacker18 的回复:]
是啊!“panda@sina.com”中含有“and”,所以无法注册。头疼!
[/Quote]

呵呵,所以说了,别用这个,除非是无所谓,懒得理就这么做了
hacker18 2008-10-16
  • 打赏
  • 举报
回复
是啊!“panda@sina.com”中含有“and”,所以无法注册。头疼!
  • 打赏
  • 举报
回复
千万别全部都这么做,如果都调用这个东西,你一些正常页面输入的正常字符也会有错

必须你的留言本里,别人发一个文章含有net那不是也是不能发了??
hacker18 2008-10-16
  • 打赏
  • 举报
回复
附上防止SQL注入的检测程序,欢迎纠正不足之处:
一、在各页调用:
call DenialSQLInjectFromForm()
call DenialSQLInjectFromURL()

二、程序代码:
'Begin==========================================================================================================================
sub DenialSQLInjectFromURL()
Dim strTemp,oRegExp

If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp="http://"
Else
strTemp="https://"
End If

strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")
strTemp = strTemp & Request.ServerVariables("URL")
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
strTemp = LCase(strTemp)
Set oRegExp = New RegExp '正则判断。
oRegExp.IgnoreCase = True
oRegExp.Global = True
oRegExp.Pattern = "select%20|insert%20|delete%20|update%20|exec|'|asc\(|char\(|mid\(|truncate%20|count\(|drop%20|xp_cmdshell|net%20localgroup%20administrators|net%20user|%20or%20"

If oRegExp.Test(strTemp) Then
response.write "警告:您提交的数据中包含有危险字符!"
response.end
End If

end sub
'End============================================================================================================================

'Begin==========================================================================================================================
sub DenialSQLInjectFromForm()
dim DangerSQLCharacter,DangerWord,FormPost,FormGet
DangerSQLCharacter="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
DangerWord=split(DangerSQLCharacter,"|")

'Begin--------------------------------------------------------------------------------------
'表单以POST方式提交。
If Request.Form<>"" Then
For Each FormPost In Request.Form
For i=0 To UBound(DangerWord)
If InStr(LCase(Request.Form(FormPost)),DangerWord(i))<>0 Then
response.write "警告:您提交的数据中包含有危险字符!"
response.end
End If
Next
Next
End If
'End----------------------------------------------------------------------------------------

'Begin--------------------------------------------------------------------------------------
'表单以GET方式提交。
If Request.QueryString<>"" Then
For Each FormGet In Request.QueryString
For j=0 To UBound(DangerWord)
If Instr(LCase(Request.QueryString(FormGet)),DangerWord(j))<>0 Then
response.write "警告:您提交的数据中包含有危险字符!"
response.end
End If
Next
Next
End If
'End----------------------------------------------------------------------------------------

end sub
'End============================================================================================================================
hacker18 2008-10-16
  • 打赏
  • 举报
回复
1.如果有人盯上你的站了,就别那么费心了,把程序做好安全即可了!
答:每天都人盯上此站,不断地使用工具对网站中可能存在的文件进行扫描(尝试猜解,以扫描是否存在可以被利用的文件,还好绝大部分程序是自行开发的),请看部分日志(时间格式为GMT,北京时区为+8,所以以下时间全部要加上8才是北京时间。以下目录和文件皆不存在):
2008-10-11 23:55:05 GET /eWebEditor/admin_login.asp - 80 - 116.20.135.66
2008-10-11 23:55:06 GET /WebEdit/admin_login.asp - 80 - 116.20.135.66
2008-10-11 23:55:07 GET /editor/admin_login.asp - 80 - 116.20.135.66
2008-10-11 23:55:07 GET /eweb/admin_login.asp - 80 - 116.20.135.66
2008-10-11 23:55:07 GET /htmledit/admin_login.asp - 80 - 116.20.135.66
2008-10-11 23:55:08 GET /admin/eWebEditor/admin_login.asp - 80 - 116.20.135.66

2.每次访问网页的时候都让程序自动比对一下现有的asp文件是否和数据库中存储的一致
答:跟我所想的一样。好像织梦CMS也是这样做的,不过它的检测是人工主动检测,而不是系统自动检测。

3.本来还想帮你看下什么问题,是否可以通过上传文件写入木马.现在我也没心情了.
答:让你就进去就麻烦了。

4.问:网上流行的“SQL通用防注入程序”好像不是很有效,有无更安全的方法?

加载更多回复(27)

28,390

社区成员

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧