隨著教育信息化進(jìn)程的推進(jìn),各類教育網(wǎng)站大量涌現(xiàn)。由于教育網(wǎng)站大多是學(xué)校計(jì)算機(jī)教師自己開發(fā)管理的小型網(wǎng)站,普通存在著設(shè)備����、技術(shù)�、專業(yè)人員不足的問題,網(wǎng)站自身存在漏洞�,常常成為黑客攻擊的目標(biāo),嚴(yán)重影響了正常業(yè)務(wù)的開展�����。這里�,筆者希望通過對(duì)教育網(wǎng)站所遭遇的三次黑客入侵的剖析,來分析黑客常用的入侵方法和手段�����。
第一次遭遇入侵
1. 入侵現(xiàn)象:2004年春節(jié)�����,網(wǎng)站的公告欄上突然出現(xiàn)“此論壇有漏洞����,請(qǐng)管理員修復(fù)”的內(nèi)容�����,并被粘貼了一張圖片�����。
2. 處理問題的過程:首先想到的是以為存在某個(gè)Windows 2000漏洞,于是就先刪除這條內(nèi)容���,然后對(duì)Windows 2000服務(wù)器重新安裝升級(jí)補(bǔ)丁���,完成更嚴(yán)格的安全設(shè)置并更換了全套密碼。自以為可以高枕無憂了�����,不料沒過幾天����,公告板上再次出現(xiàn)黑客的警告“你的漏洞依然存在,我可以告訴你問題所在���,但作為回報(bào)我要你網(wǎng)站的源代碼”��。
3. 入侵原理:我當(dāng)然不會(huì)輕易就范�,經(jīng)過查閱資料最后發(fā)現(xiàn)原來漏洞是SQL致命的“單引號(hào)注入”。入侵原理如下:在網(wǎng)站后臺(tái)管理登錄頁面用戶密碼認(rèn)證時(shí)�,如果用戶在“UserID”輸入框內(nèi)輸入“Everybody”,在密碼框里輸入“anything’ or 1=’1”����,查詢的SQL語句就變成了:Select ?? from user where username=’everyboby’ and password=’anything’ or 1=’1’。不難看出�����,由于“1=’1’”是一個(gè)始終成立的條件�����,判斷返回為“真”�,Password的限制形同虛設(shè),不管用戶的密碼是不是Anything�,他都可以以Everybody的身份遠(yuǎn)程登錄,獲得后臺(tái)管理權(quán)���,在公告欄發(fā)布任何信息����。
4. 解決方法:用replace函數(shù)屏蔽單引號(hào)。
select ?? from user where username=’&&replace(request.form("UserID"),’,")&&’ and password=’ &&replace(request.form
("Pass"),’,")&&
再次被入侵
有了第一次被入侵的經(jīng)歷��,事后幾周我心里一直忐忑不安���,但不幸還是發(fā)生了���。
1. 入侵現(xiàn)象:一天,突然發(fā)現(xiàn)網(wǎng)站的主頁文件和數(shù)據(jù)庫(kù)部分?jǐn)?shù)據(jù)被刪除��,從入侵的痕跡分析是同一黑客所為��。
2. 處理問題的過程:首先查看系統(tǒng)日志�、SQL的日志�����,沒有發(fā)現(xiàn)價(jià)值的線索�,采用X-Scan、木馬克星和瑞星殺毒軟件自帶的系統(tǒng)漏洞掃描工具進(jìn)行掃描����,系統(tǒng)沒有嚴(yán)重的安全漏洞,于是問題的查找陷入了困境�,幸好網(wǎng)站有完整的備份數(shù)據(jù)�,最后只能先恢復(fù)網(wǎng)站的正常運(yùn)行���。巧的是在一周后一次通過后臺(tái)管理上載文件的過程中��,發(fā)現(xiàn)有人上載過cmd.asp����、mun.asp和1.bat三個(gè)文件的操作痕跡��,時(shí)間為第一次入侵期間�。但機(jī)器硬盤上已無法查找到這三個(gè)文件,這是木馬程序����,顯然這黑客比較專業(yè),在入侵完成后自己清理了戰(zhàn)場(chǎng)�����,但還是在網(wǎng)站上載記錄中留下了線索�����,否則管理員根本無從知曉。
3. 入侵原理:cmd.asp�、mun.asp是木馬程序,經(jīng)過翻閱大量資料顯示這類木馬為ASP木馬�,屬于有名的海陽頂端ASP木馬的一種,這類木馬一旦被復(fù)制到網(wǎng)站的虛擬目錄下�,遠(yuǎn)端只要用IE瀏覽器打開該ASP文件,就可以在Web界面上輕松地控制該計(jì)算機(jī)執(zhí)行任何操作�。我在網(wǎng)上下載了一個(gè)ASP木馬,模擬測(cè)試了一下����,功能非常強(qiáng)大,能實(shí)現(xiàn)遠(yuǎn)程文件上傳下載�����、刪除�����、用戶添加�、文件修改和程序遠(yuǎn)程執(zhí)行等操作�����。1.bat文件為批處理文件��,內(nèi)容根據(jù)需要寫入一組程序執(zhí)行命令在遠(yuǎn)程計(jì)算機(jī)上實(shí)現(xiàn)自動(dòng)執(zhí)行。顯然�����,這個(gè)木馬是在黑客第一次入侵時(shí)就放上去的���,一旦網(wǎng)管員沒按他的要求就范��,就可以輕松地再次實(shí)施攻擊����。
4. 解決方法:為了防止仍有隱藏很深的木馬��,確保萬無一失���,我重新安裝了Windows2000系統(tǒng)���,并更換了全套用戶名,密碼���。
第三次被入侵的分析
1. 入侵現(xiàn)象:2004年10月���,網(wǎng)站再次遭到入侵����。這天我在圖片新聞欄目中突然發(fā)現(xiàn)一條圖片新聞被去年一條舊的內(nèi)容所替代����,當(dāng)客戶端點(diǎn)擊該新聞圖片時(shí),瑞星殺毒監(jiān)控系統(tǒng)報(bào)警發(fā)現(xiàn)病毒�����,顯然網(wǎng)站已被入侵并被植入帶病毒的圖片����,這是一種以圖片文件格式作為掩護(hù)的木馬病毒,用戶一旦點(diǎn)擊該圖片���,病毒就被植入C:\Windows\Temporary Internet Files目錄下����,這是一起惡性黑客入侵事件���,從其手法上看為另一黑客所為。
2. 處理問題的過程:有了前兩次被入侵的教訓(xùn),我養(yǎng)成經(jīng)常了解有關(guān)系統(tǒng)安全漏洞信息的習(xí)慣�����,并定期進(jìn)行系統(tǒng)UPDATE�,因此利用系統(tǒng)漏洞入侵的可能性不大。而該置入的圖片是放入SQL數(shù)據(jù)庫(kù)內(nèi)的�,這說明黑客利用了網(wǎng)站后臺(tái)管理功能實(shí)現(xiàn)圖片上傳,而這需要合法的用戶密碼才行�。我設(shè)定的用戶名和密碼不容易被破解,那么只有一條途徑�,即黑客通過某種特定的方式拿到了放在SQL數(shù)據(jù)庫(kù)表中的后臺(tái)管理用戶名和密碼。有了這個(gè)思路�����,我在互聯(lián)網(wǎng)上研讀了大量相關(guān)資料�,最后鎖定本次受到的攻擊為“SQL注入式入侵”。
3. 入侵原理:SQL注入的原理�,是客戶端從正常的WWW端口提交特殊的代碼,利用返回的錯(cuò)誤提示����,收集程序及服務(wù)器的信息,從而獲取想得到的資料�。
4. 解決方法:在ASP程序提取數(shù)據(jù)庫(kù)表單內(nèi)容的“select * from”語句前增加一條關(guān)閉SQL出錯(cuò)信息的顯示語句“on error resume next”�,如
on error resume next
rs.Open "select ?? from xinwen where xw_id="&&request.QueryString ("xw_id"),conn,1,3
本文出自:億恩科技【xuefeilisp.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
