网站被入侵,木马为十三WEBSHELL,全站文件被下载,怎么办?
客户网站:http://www.nnjzw.cn/
起因:有人也要经营兼职网站,由于nnjzw运营和发展良好,并且此类人不愿向任何一家从事网站建设业务的公司支付高额的开发费用,所以谋求入侵和下载。现在在百度中搜索“兼职网 源码”等关键词找到的程序,大部分是此站的新、旧版整站文件的压缩包文件。
防范:网站经历两次改版和升级,每次升级后都被入侵,第二次升级后,删除了动网论坛7.1,管理员和会员登录后进入每个管理页面都要验证帐户,文件上传程序加入了检测文件名后缀(参考动网论坛7.1)、读取并检测文件内容是否包含有害字符(即使是JPG图片文件,也要打开检查全文,故而运行性能有些低下)、任何会员和管理员上传的文件都会有记录、管理员也对上传文件保持高度的警惕和监测。
过程和结果分析:无法确切得知入侵者的入侵方式,可能存在的方式有文件上传(未发现有可疑的文件上传记录,要么不是会员上传,要么是达到目的后删除记录)、SQL注入、利用主机漏洞等,木马文件logs.asp(十三WEBSHELL)将全站压缩并下载。发生时间为2008-10-12 16:00至17:40左右,执行木马的IP为广东,而下载RAR的IP为山东。
无助:虚拟主机的database目录并不安全,只限制web方式不可以访问,只防君子不防小人,木马仍然可以访问和操作。设为只读是不现实的,因为数据库文件时刻在被ASP程序写入。换成SQL Server也不安全,木马可以查看conn.asp的内容。请教解决办法,主要是防木马和保护文件、目录的方法。
先谢了!