隨著教育信息化進程的推進�����,各類教育網(wǎng)站大量涌現(xiàn)��。由于教育網(wǎng)站大多是學校計算機教師自己開發(fā)管理的小型網(wǎng)站�����,普通存在著設備、技術���、專業(yè)人員不足的問題�����,網(wǎng)站自身存在漏洞����,常常成為黑客攻擊的目標�����,嚴重影響了正常業(yè)務的開展�����。這里���,筆者希望通過對教育網(wǎng)站所遭遇的三次黑客入侵的剖析��,來分析黑客常用的入侵方法和手段����。
第一次遭遇入侵
1. 入侵現(xiàn)象:2004年春節(jié),網(wǎng)站的公告欄上突然出現(xiàn)“此論壇有漏洞����,請管理員修復”的內(nèi)容,并被粘貼了一張圖片����。
2. 處理問題的過程:首先想到的是以為存在某個Windows 2000漏洞,于是就先刪除這條內(nèi)容����,然后對Windows 2000服務器重新安裝升級補丁,完成更嚴格的安全設置并更換了全套密碼�����。自以為可以高枕無憂了��,不料沒過幾天��,公告板上再次出現(xiàn)黑客的警告“你的漏洞依然存在���,我可以告訴你問題所在,但作為回報我要你網(wǎng)站的源代碼”����。
3. 入侵原理:我當然不會輕易就范���,經(jīng)過查閱資料最后發(fā)現(xiàn)原來漏洞是SQL致命的“單引號注入”。入侵原理如下:在網(wǎng)站后臺管理登錄頁面用戶密碼認證時�����,如果用戶在“UserID”輸入框內(nèi)輸入“Everybody”����,在密碼框里輸入“anything’ or 1=’1”,查詢的SQL語句就變成了:Select ?? from user where username=’everyboby’ and password=’anything’ or 1=’1’�����。不難看出���,由于“1=’1’”是一個始終成立的條件����,判斷返回為“真”����,Password的限制形同虛設��,不管用戶的密碼是不是Anything��,他都可以以Everybody的身份遠程登錄����,獲得后臺管理權(quán)��,在公告欄發(fā)布任何信息����。
4. 解決方法:用replace函數(shù)屏蔽單引號。
select ?? from user where username=’&&replace(request.form("UserID"),’,")&&’ and password=’ &&replace(request.form
("Pass"),’,")&&
再次被入侵
有了第一次被入侵的經(jīng)歷��,事后幾周我心里一直忐忑不安��,但不幸還是發(fā)生了����。
1. 入侵現(xiàn)象:一天�����,突然發(fā)現(xiàn)網(wǎng)站的主頁文件和數(shù)據(jù)庫部分數(shù)據(jù)被刪除����,從入侵的痕跡分析是同一黑客所為���。
2. 處理問題的過程:首先查看系統(tǒng)日志、SQL的日志�,沒有發(fā)現(xiàn)價值的線索,采用X-Scan��、木馬克星和瑞星殺毒軟件自帶的系統(tǒng)漏洞掃描工具進行掃描�����,系統(tǒng)沒有嚴重的安全漏洞��,于是問題的查找陷入了困境�,幸好網(wǎng)站有完整的備份數(shù)據(jù),最后只能先恢復網(wǎng)站的正常運行��。巧的是在一周后一次通過后臺管理上載文件的過程中�,發(fā)現(xiàn)有人上載過cmd.asp、mun.asp和1.bat三個文件的操作痕跡����,時間為第一次入侵期間。但機器硬盤上已無法查找到這三個文件���,這是木馬程序����,顯然這黑客比較專業(yè),在入侵完成后自己清理了戰(zhàn)場�,但還是在網(wǎng)站上載記錄中留下了線索,否則管理員根本無從知曉�。
3. 入侵原理:cmd.asp、mun.asp是木馬程序�����,經(jīng)過翻閱大量資料顯示這類木馬為ASP木馬��,屬于有名的海陽頂端ASP木馬的一種��,這類木馬一旦被復制到網(wǎng)站的虛擬目錄下��,遠端只要用IE瀏覽器打開該ASP文件���,就可以在Web界面上輕松地控制該計算機執(zhí)行任何操作。我在網(wǎng)上下載了一個ASP木馬��,模擬測試了一下�����,功能非常強大,能實現(xiàn)遠程文件上傳下載��、刪除���、用戶添加��、文件修改和程序遠程執(zhí)行等操作���。1.bat文件為批處理文件,內(nèi)容根據(jù)需要寫入一組程序執(zhí)行命令在遠程計算機上實現(xiàn)自動執(zhí)行�。顯然,這個木馬是在黑客第一次入侵時就放上去的�����,一旦網(wǎng)管員沒按他的要求就范��,就可以輕松地再次實施攻擊�。
4. 解決方法:為了防止仍有隱藏很深的木馬,確保萬無一失�����,我重新安裝了Windows2000系統(tǒng),并更換了全套用戶名���,密碼�。
第三次被入侵的分析
1. 入侵現(xiàn)象:2004年10月����,網(wǎng)站再次遭到入侵。這天我在圖片新聞欄目中突然發(fā)現(xiàn)一條圖片新聞被去年一條舊的內(nèi)容所替代�����,當客戶端點擊該新聞圖片時�����,瑞星殺毒監(jiān)控系統(tǒng)報警發(fā)現(xiàn)病毒���,顯然網(wǎng)站已被入侵并被植入帶病毒的圖片�,這是一種以圖片文件格式作為掩護的木馬病毒�,用戶一旦點擊該圖片,病毒就被植入C:\Windows\Temporary Internet Files目錄下�����,這是一起惡性黑客入侵事件����,從其手法上看為另一黑客所為。
2. 處理問題的過程:有了前兩次被入侵的教訓�,我養(yǎng)成經(jīng)常了解有關系統(tǒng)安全漏洞信息的習慣,并定期進行系統(tǒng)UPDATE���,因此利用系統(tǒng)漏洞入侵的可能性不大���。而該置入的圖片是放入SQL數(shù)據(jù)庫內(nèi)的,這說明黑客利用了網(wǎng)站后臺管理功能實現(xiàn)圖片上傳�,而這需要合法的用戶密碼才行。我設定的用戶名和密碼不容易被破解��,那么只有一條途徑����,即黑客通過某種特定的方式拿到了放在SQL數(shù)據(jù)庫表中的后臺管理用戶名和密碼。有了這個思路�,我在互聯(lián)網(wǎng)上研讀了大量相關資料,最后鎖定本次受到的攻擊為“SQL注入式入侵”����。
3. 入侵原理:SQL注入的原理�,是客戶端從正常的WWW端口提交特殊的代碼��,利用返回的錯誤提示���,收集程序及服務器的信息����,從而獲取想得到的資料����。
4. 解決方法:在ASP程序提取數(shù)據(jù)庫表單內(nèi)容的“select * from”語句前增加一條關閉SQL出錯信息的顯示語句“on error resume next”,如
on error resume next
rs.Open "select ?? from xinwen where xw_id="&&request.QueryString ("xw_id"),conn,1,3
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
