|
有時會收到一(yī)些客戶反映網站被黑,或被上傳木馬,當用戶訪問網站時就會下(xià)載病毒或者木馬,殺毒軟件彈出病毒的提示. 這種情況是以下(xià)2種情況導緻的.
種情況: 客戶網站存在文件上傳漏洞.導緻黑客使用漏洞上傳黑客文件. 然後黑客可以對該用戶網站所有文件進行任意修改,這種情況比較普遍. 針對這種情況, 用戶需要找技術人員(yuán). 檢查出網站漏洞并徹底修複,并檢查看網站是否還有黑客隐藏的惡意文件.
原因: 很多網站都需要使用到文件上傳功能,例如很多網站需要發布産品圖片等. 文件上傳功能本來應該具有嚴格的限定. 例如:隻允許用戶隻能上傳JPG,GIF等圖片. 但由于程序開(kāi)發人員(yuán)考慮不嚴謹,或者直接是調用一(yī)些通用的文件上傳組件, 導緻沒對文件上傳進行嚴格的檢查.
處理: 處理關鍵是要用戶自己知(zhī)道自己網站哪些地方使用到了文件上傳功能. 重點針對這個文件上傳功能進行檢查, 同時針對網站所有文件進行檢查,排查可疑信息. 同時也利用網站日志(zhì),對文件被修改時間進行檢查,
1) 查到哪個文件被加入代碼: 用戶要查看自己網頁代碼.根據被加入代碼的位置,确定到底是哪個頁面被黑, 一(yī)般黑客會去(qù)修改數據庫連接文件或網站頂部/底部 文件, 因爲這樣修改後用戶網站所有頁面都會被附加代碼.
2) 查看文件後被修改時間, 例如 Ftp裏面查看到conn.asp文件被黑,後修改時間是 2008-2-22 10:34 分(fēn), 那麽可以确定在 2008-2-22日10:34 分(fēn)這個時間 有黑客使用他留下(xià)的黑客後門,篡改了你的conn.asp這個文件. 到底是哪個文件? 可以使用網站日志(zhì)查出來. 在www.72dns.com 的雲虛拟主機管理裏面. 使用獲取網站日志(zhì)功能. 獲得到 2008-2-20 日的網站日志(zhì). 由于日志(zhì)記錄和真實時間有8小(xiǎo)時時間差, 所以您要檢查的時間是 2:34分(fēn) 左右. 以下(xià)是一(yī)個日志(zhì)記錄案例.
2008-02-22 02:34:29 W3SVC23 211.155.230.227 GET /favicon.ico
2008-02-22 02:34:29 W3SVC23 211.155.230.227 POST /news/uppic/569853.asp
2008-02-22 02:36:03 W3SVC23 211.155.230.227 GET /prod_Detail.asp id=59
用戶可以根據日志(zhì)判定 /news/uppic/569853.asp 這個文件 應該是黑客上傳的文件.
3) 再重複2) 步,确定終哪個文件存在上傳漏洞: 查看569853.asp文件修改時間,再查出到底是哪個文件 導緻上傳了569853.asp 這個文件. 查看到569853.asp 文件修改時間是2008-02-20 18:58分(fēn), 找到有問題的文件. 結果追查到有問題的文件是 uploadPic.inc.asp.
2008-02-20 10:57:37 W3SVC23 211.155.230.227 GET /prod_ListCategory.asp cid=18
2008-02-20 10:58:03 W3SVC23 211.155.230.227 POST /news/admin/uploadPic.inc.asp
2008-02-20 11:08:43 W3SVC23 211.155.230.227 GET /uploadpic/nike.jpg
4) 就這樣循環.後可以查出是哪個文件有文件上傳漏洞, 要修複這些文件上傳漏洞,并徹底檢查網站代碼,徹底删除黑客其他隐藏的黑客文件.
注意:
1) 很多用戶網站被黑後,隻是将被串改的文件修正過來.或重新上傳, 這樣是沒多大(dà)作用. 如果網站不修複漏洞.黑客可以很快再次利用這漏洞,對用戶網站再次入侵.
2) 網站漏洞的檢查和修複需要一(yī)定的技術人員(yuán)才能處理.用戶需要先做好文件的備份.
|
首 頁 
