110,571
社区成员
发帖
与我相关
我的任务
分享请高手指点:入侵检测:如何知道黑客是用什么方式建立的文件夹和上传的图片?(思归、孟子不忙的话,来看看,谢谢)
如何知道黑客是用什么方式建立的文件夹和上传的文件?
最近网站出现了安全问题,描述如下:
1、建立 带有空格的文件夹 比如: “123 ”
2、在其中建立了一些含有非法信息的网页 比如:123.html
3、访问可以通过 /123%20/123.html 访问
目前处理方式:
1、由于文件夹是非法的,无法修改权限
2、查找并修补了我们所有找到的漏洞,比如:注入,上传 漏洞
3、清除了服务器上其他的站点
4、检查了服务器上所有的代码文件
5、将代码服务器和数据库服务器分离
结果:
依然能够创建文件夹和文件,只不多是单独的文件了,不是批量的了(不知道使我们的作用还是黑客故意)。
请高手指点一下,怎么能够获取黑客的入侵方式,及对应的入口。方便我们及时修复。
最近网站出现了安全问题,描述如下:
1、建立 带有空格的文件夹 比如: “123 ”
2、在其中建立了一些含有非法信息的网页 比如:123.html
3、访问可以通过 /123%20/123.html 访问
目前处理方式:
1、由于文件夹是非法的,无法修改权限
2、查找并修补了我们所有找到的漏洞,比如:注入,上传 漏洞
3、清除了服务器上其他的站点
4、检查了服务器上所有的代码文件
5、将代码服务器和数据库服务器分离
结果:
依然能够创建文件夹和文件,只不多是单独的文件了,不是批量的了(不知道使我们的作用还是黑客故意)。
请高手指点一下,怎么能够获取黑客的入侵方式,及对应的入口。方便我们及时修复。
...全文
请发表友善的回复…
发表回复
极地_雪狼 2010-05-07
- 打赏
- 举报
问题解决!
1、存在上传漏洞,上传文件验证不够严格
2、黑客上传了木马,并控制了计算机
3、黑客安装了服务(360和瑞星没有查出来,装了个诺顿才查出来),可以记录键盘操作,同时装有反弹木马,采用端口复用,硬防无效
解决方法:
1、修补上传漏洞,更换了上传文件的验证,加强了文件名称的验证。
2、更换后台路径及加密方式
3、安装诺度,查找并删除了木马病毒,
4、查找并删除了,以前上传上来的木马文件
5、重新安装并更换服务器
目前服务器正常运行了2周了。
1、存在上传漏洞,上传文件验证不够严格
2、黑客上传了木马,并控制了计算机
3、黑客安装了服务(360和瑞星没有查出来,装了个诺顿才查出来),可以记录键盘操作,同时装有反弹木马,采用端口复用,硬防无效
解决方法:
1、修补上传漏洞,更换了上传文件的验证,加强了文件名称的验证。
2、更换后台路径及加密方式
3、安装诺度,查找并删除了木马病毒,
4、查找并删除了,以前上传上来的木马文件
5、重新安装并更换服务器
目前服务器正常运行了2周了。
肖无疾 2010-04-27
- 打赏
- 举报
[Quote=引用 23 楼 wanghui0380 的回复:]
最简单的方法,安装一个filemon监控一下文件就成
监控两天就够了(filemon是好,不过有点耗资源,开了两天找到问题了就关吧)
实际有时候的问题比较搞笑,有段时间我管的服务器也有点问题。用filemon监控,结果发现是一位老兄天天用ftp传木马,然后我修改了fpt密码问题就解决了(不过搞笑的是,当时有点病急乱投医,删了几位客户的可疑文件夹,那几位客户不乐意了,正找我麻烦呢,我正……
[/Quote]
太逗了
最简单的方法,安装一个filemon监控一下文件就成
监控两天就够了(filemon是好,不过有点耗资源,开了两天找到问题了就关吧)
实际有时候的问题比较搞笑,有段时间我管的服务器也有点问题。用filemon监控,结果发现是一位老兄天天用ftp传木马,然后我修改了fpt密码问题就解决了(不过搞笑的是,当时有点病急乱投医,删了几位客户的可疑文件夹,那几位客户不乐意了,正找我麻烦呢,我正……
[/Quote]
太逗了
Neil198 2010-04-27
- 打赏
- 举报
查查日志
a82344626 2010-04-27
- 打赏
- 举报
你的是上传漏洞吧
文件上传里没判断好是不是ASP页PHP或ASPX的
文件上传里没判断好是不是ASP页PHP或ASPX的
wuyq11 2010-04-26
- 打赏
- 举报
通过工具扫描网站检查漏洞
图片和文件分离
检查进程
图片和文件分离
检查进程
wanghui0380 2010-04-26
- 打赏
- 举报
最简单的方法,安装一个filemon监控一下文件就成
监控两天就够了(filemon是好,不过有点耗资源,开了两天找到问题了就关吧)
实际有时候的问题比较搞笑,有段时间我管的服务器也有点问题。用filemon监控,结果发现是一位老兄天天用ftp传木马,然后我修改了fpt密码问题就解决了(不过搞笑的是,当时有点病急乱投医,删了几位客户的可疑文件夹,那几位客户不乐意了,正找我麻烦呢,我正头疼,结果当天晚上那位黑客老兄又把他备份的文件给我传回来了)
监控两天就够了(filemon是好,不过有点耗资源,开了两天找到问题了就关吧)
实际有时候的问题比较搞笑,有段时间我管的服务器也有点问题。用filemon监控,结果发现是一位老兄天天用ftp传木马,然后我修改了fpt密码问题就解决了(不过搞笑的是,当时有点病急乱投医,删了几位客户的可疑文件夹,那几位客户不乐意了,正找我麻烦呢,我正头疼,结果当天晚上那位黑客老兄又把他备份的文件给我传回来了)
mayonglong 2010-04-26
- 打赏
- 举报
路过~~
__还是少年 2010-04-26
- 打赏
- 举报
顶你,路过的
明缘 2010-04-26
- 打赏
- 举报
up!!!!!!!
QSqiusai 2010-04-26
- 打赏
- 举报
别被黑了。呵呵
zzxap 2010-04-26
- 打赏
- 举报
http://topic.csdn.net/u/20090729/14/26381958-0d6e-4b90-bc90-d275e9621f93.html
很多是利用fckedit的上传漏洞的
很多是利用fckedit的上传漏洞的
肖无疾 2010-04-26
- 打赏
- 举报
有些安防软件有这个功能
当然ProcessMonitor肯定可以,但太猛了
当然ProcessMonitor肯定可以,但太猛了
极地_雪狼 2010-04-26
- 打赏
- 举报
1、黑客创建文件夹和文件没有个确定的时间,怎么查看进程呢?
2、web服务器上没有数据库,数据库在另外一台机器上。
2、web服务器上没有数据库,数据库在另外一台机器上。
肖无疾 2010-04-26
- 打赏
- 举报
你web服务器也装了数据库吧
Flavoring 2010-04-26
- 打赏
- 举报
最好把sql的用户改一下,把权限重新设一次,sql的漏洞应该这样可以解决,漏洞多多,所以的系统和网站,哪个敢说自己的系统没漏洞了,都只是相对来说罢了
cyx1225 2010-04-26
- 打赏
- 举报
有难度 观望 帮顶
肖无疾 2010-04-26
- 打赏
- 举报
看看系统和数据库是否多了账户
用防火墙监视目录创建,看是哪个进程
用防火墙监视目录创建,看是哪个进程
极地_雪狼 2010-04-26
- 打赏
- 举报
数据库不在代码服务器上,也可以操作代码服务器吗?
貌似不可以吧。
貌似不可以吧。
极地_雪狼 2010-04-26
- 打赏
- 举报
嗯,这个命令行我找到过。
肖无疾 2010-04-26
- 打赏
- 举报
或者别人有你数据库的权限
加载更多回复(8)
