有时会收到一些客户反映网站被黑,或被上传木马,当用户访问网站时就会下载病毒或者木马,杀毒软件弹出病毒的提示. 这种情况是以下2种情况导致的.
第一种情况: 客户网站存在文件上传漏洞.导致黑客使用漏洞上传黑客文件. 然后黑客可以对该用户网站所有文件进行任意修改,这种情况比较普遍. 针对这种情况, 用户需要找技术人员. 检查出网站漏洞并彻底修复,并检查看网站是否还有黑客隐藏的恶意文件.
原因: 很多网站都需要使用到文件上传功能,例如很多网站需要发布产品图片等. 文件上传功能本来应该具有严格的限定. 例如:只允许用户只能上传JPG,GIF等图片. 但由于程序开发人员考虑不严谨,或者直接是调用一些通用的文件上传组件, 导致没对文件上传进行严格的检查.
处理: 处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能. 重点针对这个文件上传功能进行检查, 同时针对网站所有文件进行检查,排查可疑信息. 同时也利用网站日志,对文件被修改时间进行检查,
1) 查到哪个文件被加入代码: 用户要查看自己网页代码.根据被加入代码的位置,确定到底是哪个页面被黑, 一般黑客会去修改数据库连接文件或网站顶部/底部 文件, 因为这样修改后用户网站所有页面都会被附加代码.
2) 查看文件最后被修改时间, 例如 Ftp里面查看到conn.asp文件被黑,最后修改时间是 2008-2-22 10:34 分, 那么可以确定在 2008-2-22日10:34 分这个时间 有黑客使用他留下的黑客后门,篡改了你的conn.asp这个文件. 到底是哪个文件? 可以使用网站日志查出来. 在www.128.in 的云虚拟主机管理里面. 使用获取网站日志功能. 获得到 2008-2-20 日的网站日志. 由于日志记录和真实时间有8小时时间差, 所以您要检查的时间是 2:34分 左右. 以下是一个日志记录案例.
2008-02-22 02:34:29 W3SVC23 211.155.230.227 GET /favicon.ico 2008-02-22 02:34:29 W3SVC23 211.155.230.227 POST /news/uppic/569853.asp 2008-02-22 02:36:03 W3SVC23 211.155.230.227 GET /prod_Detail.asp id=59
用户可以根据日志判定 /news/uppic/569853.asp 这个文件 应该是黑客上传的文件.
3) 再重复2) 步,确定最终哪个文件存在上传漏洞: 查看569853.asp文件修改时间,再查出到底是哪个文件 导致上传了569853.asp 这个文件. 查看到569853.asp 文件修改时间是2008-02-20 18:58分, 找到有问题的文件. 结果追查到有问题的文件是 uploadPic.inc.asp.
2008-02-20 10:57:37 W3SVC23 211.155.230.227 GET /prod_ListCategory.asp cid=18 2008-02-20 10:58:03 W3SVC23 211.155.230.227 POST /news/admin/uploadPic.inc.asp 2008-02-20 11:08:43 W3SVC23 211.155.230.227 GET /uploadpic/nike.jpg
4) 就这样循环.最后可以查出是哪个文件有文件上传漏洞, 要修复这些文件上传漏洞,并彻底检查网站代码,彻底删除黑客其他隐藏的黑客文件.
注意: 1) 很多用户网站被黑后,只是将被串改的文件修正过来.或重新上传, 这样是没多大作用. 如果网站不修复漏洞.黑客可以很快再次利用这漏洞,对用户网站再次入侵. 2) 网站漏洞的检查和修复需要一定的技术人员才能处理.用户需要先做好文件的备份. |