Moi*_*man 6 windows-server-2008 vps iis-7 hacking
嗨,SF'ers,
我刚刚有人入侵了我的客户网站之一。他们设法更改了一个文件,以便网站上的结帐页面将付款信息写入文本文件。
幸运或不幸的是,他们塞满了,代码中有一个错字,这破坏了网站,所以我马上就知道了。
我对他们如何做到这一点有一些了解:
我的网站 CMS 有一个文件上传区域,您可以在其中上传要在网站内使用的图像和文件。上传仅限于 2 个文件夹。我在这些文件夹中发现了两个可疑文件,在检查内容时,这些文件似乎允许黑客查看服务器的文件系统并上传自己的文件、修改文件甚至更改注册表项?!
我删除了一些文件并更改了密码,并且正在尝试保护 CMS 并通过扩展限制文件上传。
你们还有什么可以建议我做的,以尝试找出有关他们如何进入的更多详细信息,以及我可以做些什么来防止将来发生这种情况?
Tom*_*nor 15
如果您(客户的)站点已经被入侵,那么您应该首先将其脱机。您无法轻松证明黑客没有安装 rootkit。您必须假设该服务器上的所有数据都已遭到破坏,并且可能会丢失。为您着想,我希望您没有将信用卡或其他支付数据未加密地存储在 SQL 数据库中,或者使用密钥加密存储在同一系统的某处。
然后,您必须从已知良好的映像重建它,并从上次已知的良好备份中恢复。这是唯一可以确定的方法。从轨道上核对它。
至于弄清楚他们如何进入您的系统,请查看人们登录时的事件日志,可能还有审计日志,可能会告诉您他们是否执行了上传区域中的任何代码。这对您来说将是一次很好的学习体验,尤其是在涉及网站可公开访问区域的可执行权限以及审计和日志记录时。
您的首要任务必须是在已知良好的服务器上重建站点,并比原始站点更严格地保护它。
您可能会发现“从受感染的系统中恢复”这本有趣的读物。
RobertMoir 对这个问题的广受好评的回答也可能对您有所帮助。
我的网站 CMS 有一个文件上传区域,您可以在其中上传要在网站内使用的图像和文件。上传仅限于 2 个文件夹。我在这些文件夹中发现了两个可疑文件,在检查内容时,这些文件似乎允许黑客查看服务器的文件系统并上传自己的文件、修改文件甚至更改注册表项?!
正是由于这个原因,文件上传区域非常危险。您必须采取重大措施以确保上传的内容不会被重新用作黑客尝试的一部分。如果您阻止可执行内容,则站点上其他地方的易受 XSS 攻击的脚本可能能够调用该代码并在其自己的上下文中运行它,该上下文是可执行的。
他们通过上传他们以后可以运行的东西进入。也许他们直接调用它,在这种情况下,您需要确保只有不可执行的内容可以上传到这些目录。也许他们从其他一些脚本调用了它,发现这将需要挖掘日志文件以查看哪个脚本调用了您识别的那些文件,然后保护脚本。
重建服务器后,请仔细查看这些漏洞并重新评估对上传目录的需求。
| 归档时间: |
|
| 查看次数: |
2351 次 |
| 最近记录: |