28,391
社区成员
发帖
与我相关
我的任务
分享asp网站被批量挂马,对这方面研究深的进啊,onLine,Come on~
10.1-10-3号放了3天假就来工作了,一大早,老板就把我叫过去说,那个***网站被挂马了,其实我的后台是公司给的,在网上搜索过,程序上只要注意以下几个方面就可以防止木马的入侵:
1,网址后面有参数的页面后面修改参数
2,在有表单的页面上用sql语句填写表单之类的
这种的话工程量要大些,加一些过滤的语句将提交上来的sql语句全都过滤掉再加个 攻击记录的系统 看看都写了写啥sql句子
3,webediter
第一个,第三个都不可能出现问题,因为我都加了过滤参数,程序是公司的,我主要的是做前台页面和程序,现在我怀疑是不是第2个防止sql注入的问题,唉,asp程序还没怎么研究呢,就被人家挂马了,弄得我一头雾水,提心吊胆~
现在一时间,还不知道怎么办,只好把程序下载下来,看看修改时间,原来9.27号这个网站就开始被攻击了,还涉及到什么“批量挂马”晕死,是不是隔一段时间自动地挂马啊?打开首页和top.asp页面看了一下,竟然多出一段js代码,后台文件夹下还多了个什么tomdb.tdb,还多了一个UplodeFile.asp 里面还涉及到账号什么的,我就是想不通,他是怎么把这个文件上传到后台的?有知道的朋友,帮忙看看啊???
1,网址后面有参数的页面后面修改参数
2,在有表单的页面上用sql语句填写表单之类的
这种的话工程量要大些,加一些过滤的语句将提交上来的sql语句全都过滤掉再加个 攻击记录的系统 看看都写了写啥sql句子
3,webediter
第一个,第三个都不可能出现问题,因为我都加了过滤参数,程序是公司的,我主要的是做前台页面和程序,现在我怀疑是不是第2个防止sql注入的问题,唉,asp程序还没怎么研究呢,就被人家挂马了,弄得我一头雾水,提心吊胆~
现在一时间,还不知道怎么办,只好把程序下载下来,看看修改时间,原来9.27号这个网站就开始被攻击了,还涉及到什么“批量挂马”晕死,是不是隔一段时间自动地挂马啊?打开首页和top.asp页面看了一下,竟然多出一段js代码,后台文件夹下还多了个什么tomdb.tdb,还多了一个UplodeFile.asp 里面还涉及到账号什么的,我就是想不通,他是怎么把这个文件上传到后台的?有知道的朋友,帮忙看看啊???
...全文
请发表友善的回复…
发表回复
hflkl1314 2009-10-07
- 打赏
- 举报
[Quote=引用 11 楼 www_31365_com 的回复:]
第一种:你网站用了别人通用的编辑器,而这个编辑器带有上传参数,而你在程序中忽略了修改编辑器的密码等,让人有机可乘;
第二种:前台很多页面你都做了防注,可能你上传的那个页面的代码又忽略了。
第三种:服务器直接攻击,也许注入的人通过服务器进入你的。
第四种:你的过滤参数有遗漏的地方。
[/Quote]
这个回复 后面三种好像都说的是一个意思
第一种:你网站用了别人通用的编辑器,而这个编辑器带有上传参数,而你在程序中忽略了修改编辑器的密码等,让人有机可乘;
第二种:前台很多页面你都做了防注,可能你上传的那个页面的代码又忽略了。
第三种:服务器直接攻击,也许注入的人通过服务器进入你的。
第四种:你的过滤参数有遗漏的地方。
[/Quote]
这个回复 后面三种好像都说的是一个意思
www_31365_com 2009-10-06
- 打赏
- 举报
第一种:你网站用了别人通用的编辑器,而这个编辑器带有上传参数,而你在程序中忽略了修改编辑器的密码等,让人有机可乘;
第二种:前台很多页面你都做了防注,可能你上传的那个页面的代码又忽略了。
第三种:服务器直接攻击,也许注入的人通过服务器进入你的。
第四种:你的过滤参数有遗漏的地方。
第二种:前台很多页面你都做了防注,可能你上传的那个页面的代码又忽略了。
第三种:服务器直接攻击,也许注入的人通过服务器进入你的。
第四种:你的过滤参数有遗漏的地方。
collinswang 2009-10-06
- 打赏
- 举报
用的网上的ASP代码吧?
这类代码一般都有洞,不是过滤不严就是上传漏洞。换套程序或者把所有代码重新检测一篇,原则是过滤所有传入的参数
这类代码一般都有洞,不是过滤不严就是上传漏洞。换套程序或者把所有代码重新检测一篇,原则是过滤所有传入的参数
kitty09_lei 2009-10-06
- 打赏
- 举报
学习了!
wubaozhang 2009-10-06
- 打赏
- 举报
象这种批量挂马的,肯定已经被植入木马了,还是先把被植入的木马找出来吧,特点是这种文件都是ASP可执行文件,而且很大,好几兆
lcw321321 2009-10-05
- 打赏
- 举报
改 hosts 文件
小布 2009-10-05
- 打赏
- 举报
[Quote=引用 4 楼 yuelenglingxi 的回复:]
引用 3 楼 ckhker 的回复:
最好的解决办法.上服务器把目录写入权限改成无. 数据库分离出网站根目录.放在网站目录以外的目录.以绝对地址调用
是不是把文件夹的属性改成“读取”就可以了?
[/Quote]
到IIS里,网站属性,把你的目录属性的写入前面的勾给取消掉,但是注意的事要按CKHKER说的,数据库分离出此目录,并以绝对路径调用。否则你就无法上传新闻什么的了。
引用 3 楼 ckhker 的回复:
最好的解决办法.上服务器把目录写入权限改成无. 数据库分离出网站根目录.放在网站目录以外的目录.以绝对地址调用
是不是把文件夹的属性改成“读取”就可以了?
[/Quote]
到IIS里,网站属性,把你的目录属性的写入前面的勾给取消掉,但是注意的事要按CKHKER说的,数据库分离出此目录,并以绝对路径调用。否则你就无法上传新闻什么的了。
冷月心凝 2009-10-05
- 打赏
- 举报
[Quote=引用 1 楼 wuzheng40 的回复:]
头文件里面包含过滤函数,提交所有 get post cookie 都做预先过滤
[/Quote]
Function formStr(str)
Dim form1
form1 = str
form1 = trim(form1)
form1 = replace(form1,"'","''")
form1 = replace(form1,"|||","")
form1 = replace(form1,"where","")
formStr = form1
End Function
头文件里面包含过滤函数,提交所有 get post cookie 都做预先过滤
[/Quote]
Function formStr(str)
Dim form1
form1 = str
form1 = trim(form1)
form1 = replace(form1,"'","''")
form1 = replace(form1,"|||","")
form1 = replace(form1,"where","")
formStr = form1
End Function
冷月心凝 2009-10-05
- 打赏
- 举报
[Quote=引用 3 楼 ckhker 的回复:]
最好的解决办法.上服务器把目录写入权限改成无. 数据库分离出网站根目录.放在网站目录以外的目录.以绝对地址调用
[/Quote]
是不是把文件夹的属性改成“读取”就可以了?
最好的解决办法.上服务器把目录写入权限改成无. 数据库分离出网站根目录.放在网站目录以外的目录.以绝对地址调用
[/Quote]
是不是把文件夹的属性改成“读取”就可以了?
寒叶gg 2009-10-04
- 打赏
- 举报
最好的解决办法.上服务器把目录写入权限改成无. 数据库分离出网站根目录.放在网站目录以外的目录.以绝对地址调用
冷月心凝 2009-10-04
- 打赏
- 举报
能否具体点呢?谢啦啊 ~
抱抱我的小猫 2009-10-04
- 打赏
- 举报
头文件里面包含过滤函数,提交所有 get post cookie 都做预先过滤
