剖析網(wǎng)站遭遇的三次入侵分析黑客入侵方法

第第頁剖析網(wǎng)站遭遇的三次入侵分析黑客入侵方法剖析網(wǎng)站遭遇的三次入侵分析黑客入侵方法

發(fā)表于：2023-06-23來源：：點擊數(shù)：標(biāo)簽：

隨著教育信息化進程的推進，各類教育網(wǎng)站大量涌現(xiàn)。由于教育網(wǎng)站大多是學(xué)校計算機教師自己開發(fā)管理的小型網(wǎng)站，普通存在著設(shè)備、技術(shù)、專業(yè)人員不足的問題，網(wǎng)站自身存在漏洞，常常成為黑客攻擊的目標(biāo)，嚴(yán)重影響了正常業(yè)務(wù)的開展。這里，筆者希望通過對教

隨著教育信息化進程的推進，各類教育網(wǎng)站大量涌現(xiàn)。由于教育網(wǎng)站大多是學(xué)校計算機教師自己開發(fā)管理的小型網(wǎng)站，普通存在著設(shè)備、技術(shù)、專業(yè)人員不足的問題，網(wǎng)站自身存在漏洞，常常成為黑客攻擊的目標(biāo)，嚴(yán)重影響了正常業(yè)務(wù)的開展。這里，筆者希望通過對教育網(wǎng)站所遭遇的三次黑客入侵的剖析，來分析黑客常用的入侵方法和手段。

第一次遭遇入侵

1.入侵現(xiàn)象：2023年春節(jié)，網(wǎng)站的公告欄上突然出現(xiàn)“此論壇有漏洞，請管理員修復(fù)”的內(nèi)容，并被粘貼了一張圖片。

2.處理問題的過程：首先想到的是以為存在某個Windows2000漏洞，于是就先刪除這條內(nèi)容，然后對Windows2000服務(wù)器重新安裝升級補丁，完成更嚴(yán)格的安全設(shè)置并更換了全套密碼。自以為可以高枕無憂了，不料沒過幾天，公告板上再次出現(xiàn)黑客的警告“你的漏洞依然存在，我可以告訴你問題所在，但作為回報我要你網(wǎng)站的源代碼”。

3.入侵原理：我當(dāng)然不會輕易就范，經(jīng)過查閱資料最后發(fā)現(xiàn)原來漏洞是SQL致命的“單引號注入”。入侵原理如下：在網(wǎng)站后臺管理登錄頁面用戶密碼認(rèn)證時，如果用戶在“UserID”輸入框內(nèi)輸入“Everybody”，在密碼框里輸入“anything'or1='1”，查詢的SQL語句就變成了：Select?fromuserwhereusername='everyboby'andpassword='anything'or1='1'。不難看出，由于“1='1'”是一個始終成立的條件，判斷返回為“真”，Password的限制形同虛設(shè)，不管用戶的密碼是不是Anything，他都可以以Everybody的身份遠(yuǎn)程登錄，獲得后臺管理權(quán)，在公告欄發(fā)布任何信息。

4.解決方法：用replace函數(shù)屏蔽單引號。

select?fromuserwhereusername='replace(request.form("UserID"),',")'andpassword='replace(request.form

("Pass"),',")

再次被入侵

有了第一次被入侵的經(jīng)歷，事后幾周我心里一直忐忑不安，但不幸還是發(fā)生了。

1.入侵現(xiàn)象：一天，突然發(fā)現(xiàn)網(wǎng)站的主頁文件和數(shù)據(jù)庫部分?jǐn)?shù)據(jù)被刪除，從入侵的痕跡分析是同一黑客所為。

2.處理問題的過程：首先查看系統(tǒng)日志、SQL的日志，沒有發(fā)現(xiàn)價值的線索，采用X-Scan、木馬克星和瑞星殺毒軟件自帶的系統(tǒng)漏洞掃描工具進行掃描，系統(tǒng)沒有嚴(yán)重的安全漏洞，于是問題的查找陷入了困境，幸好網(wǎng)站有完整的備份數(shù)據(jù)，最后只能先恢復(fù)網(wǎng)站的正常運行。巧的是在一周后一次通過后臺管理上載文件的過程中，發(fā)現(xiàn)有人上載過cmd.asp、mun.asp和1.bat三個文件的操作痕跡，時間為第一次入侵期間。但機器硬盤上已無法查找到這三個文件，這是木馬程序，顯然這黑客比較專業(yè)，在入侵完成后自己清理了戰(zhàn)場，但還是在網(wǎng)站上載記錄中留下了線索，否則管理員根本無從知曉。

3.入侵原理：cmd.asp、mun.asp是木馬程序，經(jīng)過翻閱大量資料顯示這類木馬為ASP木馬，屬于有名的海陽頂端ASP木馬的一種，這類木馬一旦被復(fù)制到網(wǎng)站的虛擬目錄下，遠(yuǎn)端只要用IE瀏覽器打開該ASP文件，就可以在Web界面上輕松地控制該計算機執(zhí)行任何操作。我在網(wǎng)上下載了一個ASP木馬，模擬測試了一下，功能非常強大，能實現(xiàn)遠(yuǎn)程文件上傳下載、刪除、用戶添加、文件修改和程序遠(yuǎn)程執(zhí)行等操作。1.bat文件為批處理文件，內(nèi)容根據(jù)需要寫入一組程序執(zhí)行命令在遠(yuǎn)程計算機上實現(xiàn)自動執(zhí)行。顯然，這個木馬是在黑客第一次入侵時就放上去的，一旦網(wǎng)管員沒按他的要求就范，就可以輕松地再次實施攻擊。

4.解決方法：為了防止仍有隱藏很深的木馬，確保萬無一失，我重新安裝了Windows2000系統(tǒng)，并更換了全套用戶名，密碼。

第三次被入侵的分析

1.入侵現(xiàn)象：2023年10月，網(wǎng)站再次遭到入侵。這天我在圖片新聞欄目中突然發(fā)現(xiàn)一條圖片新聞被去年一條舊的內(nèi)容所替代，當(dāng)客戶端點擊該新聞圖片時，瑞星殺毒監(jiān)控系統(tǒng)報警發(fā)現(xiàn)病毒，顯然網(wǎng)站已被入侵并被植入帶病毒的圖片，這是一種以圖片文件格式作為掩護的木馬病毒，用戶一旦點擊該圖片，病毒就被植入C:\Windows\TemporaryInternetFiles目錄下，這是一起惡性黑客入侵事件，從其手法上看為另一黑客所為。

2.處理問題的過程：有了前兩次被入侵的教訓(xùn)，我養(yǎng)成經(jīng)常了解有關(guān)系統(tǒng)安全漏洞信息的習(xí)慣，并定期進行系統(tǒng)UPDATE，因此利用系統(tǒng)漏洞入侵的可能性不大。而該置入的圖片是放入SQL數(shù)據(jù)庫內(nèi)的，這說明黑客利用了網(wǎng)站后臺管理功能實現(xiàn)圖片上傳，而這需要合法的用戶密碼才行。我設(shè)定的用戶名和密碼不容易被破解，那么只有一條途徑，即黑客通過某種特定的方式拿到了放在SQL數(shù)據(jù)庫表中的后臺管理用戶名和密碼。有了這個思路，我在互聯(lián)網(wǎng)上研讀了大量相關(guān)資料，最后鎖定本次受到的攻擊為“SQL注入式入侵”。

3.入侵原理：SQL注入的原理，是客戶端從正常的WWW端口提交特殊的代碼，利用返回的錯誤提示，收集程序及服務(wù)器的信息，從而獲取想得到的資料。

4.解決方法：在ASP程序提取數(shù)據(jù)庫表單內(nèi)容的“select*from”語句前增加一條關(guān)閉SQL出錯信息的顯示語句“onerrorresumenext”，如

onerrorresumenext

rs.Op