使用dedecms系统时经常被挂马的原因分析_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
文档贡献者
评价文档：
使用dedecms系统时经常被挂马的原因分析
大小：5.13KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢一个电子商务系统，进入localhost的admin目录无法显示目录下的文件，而是直接跳到后台网站~
[问题点数：20分，结帖人baidu_]
一个电子商务系统，进入localhost的admin目录无法显示目录下的文件，而是直接跳到后台网站~
[问题点数：20分，结帖人baidu_]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
2013年5月 总版技术专家分月排行榜第一
2014年8月 总版技术专家分月排行榜第二2014年7月 总版技术专家分月排行榜第二2013年6月 总版技术专家分月排行榜第二
2013年5月 总版技术专家分月排行榜第一
2014年8月 总版技术专家分月排行榜第二2014年7月 总版技术专家分月排行榜第二2013年6月 总版技术专家分月排行榜第二
匿名用户不能发表回复！|
每天回帖即可获得10分可用分！小技巧：
你还可以输入10000个字符
(Ctrl+Enter)
请遵守CSDN，不得违反国家法律法规。
转载文章请注明出自“CSDN（www.csdn.net）”。如是商业用途请联系原作者。网站服务器被黑被挂马的原因分析 - A5站长网
当前位置：
网站服务器被黑被挂马的原因分析
14:04&&来源：&
　　很多用户都碰到过这样一些难堪的事，因为服务器的安全漏洞问题，导致其中数据的丢失、权限被非法取得。服务器主要是指那些存放网站数据的WEB服务器、DATA服务器、DNS服务器和MAIL服务器。现在就主要说下WEB服务器为何被挂马以及被黑的原因和解决方法。
　　首先可以大致分为服务器本身和网站本身两方面情况。
　　服务器方面如下：
　 1 SQL数据库注入漏洞。
　　这个漏洞比较常见，比如说asp+Access注入，Asp+MSSQL注入。Aspx+MSSQL注入等等。
　　注入漏洞主要是利用ASP程序连接数据库未过滤的情况下，利用select from，update等语句执行任意SQL语句。但是这个漏洞如果在ACcess上使用，那么只能用查询了。ACCESS是封装的数据库。但是SQL就不同了。MSSQL利用的漏洞有很多，比如说权限分配不好，可以通过SQL拓展和权限的薄弱，列目录，差异备份LOG文件，跨库查询，CMD命令行执行。MSSQL的exec等命令。防止这个漏洞的相关方法，就是禁止在GET参数后面使用修改任意字符。比如说&and 1=1&等等。网络上有很多防注入程序。还要注意的几个不起眼的注入特征符。&&，&%&。%准确来说。是字符经过转码了。可以转换很多种编码。比如说HTML编码。WINHEX等。都可以扰过很多防注入文件。微软的MSSQL是建立在Windows平台的。他有两种方式验证用户，一种是MSSQL用户，一种是Windows身份验证。所以极度不安全就在这里。如果一个攻击者拿到系统权限。那么他可以修改管理员密码。然后利用管理员密码，用Windows身份验证登陆到本机MSSQL，可以查阅对应数据库任何资料。以及修改，删除。还可以建立一个SYSTEM ADMIN权限的SQL帐号。这里一般的解决办法。网管在建立MSSQL管理帐号时，千万切记别采用默认模式登陆。MSSQL如果是用默认的模式登陆的话，那么可以使用Windows用户验证。所以只能采用MSSQL帐户。删除xp_cmdshell等。各个盘都设置权限。不允许MSSQL直接访问盘符根目录。WEB目录名称尽量复杂点。别用Vhost，wwwroot等。这里可以防范基本的攻击者列目录。大家最好是做数据库分离。教大家一个比较变态的数据库分离方法。在服务器装个虚拟机。ViasulPC也可以。就装个Windows2003，如果大家有需要。可以自己租一个服务器。然后自己用共享模式上网，跟虚拟机共享，把数据库放在虚拟机里面。那么数据库也就是在内网了。实际上跟本机一样。现在数据库在外网已经TELNET不进1433了。就算别人得到了数据库服务器也没什么用。前几天在CK空间看了一篇他入侵时碰到的一个有趣的事。数据库分离的。那黑客气的要死。在INETPUB目录写了个骂管理员的ASP文件。如果是用的整站系统。请及时更新关注官方的漏洞和补丁公告。
　　2 系统漏洞
　　问:如果我的程序和组件相关的安全都做好了。那么是不是我的服务器就安全了?
　　答:微软提供的WindowsServer家族服务器版本虽然方便快捷，但是仍然存在着安全隐患。这个跟程序无关。是系统本身的漏洞。一般攻击者都是通过缓冲区溢出漏洞直接获得CMDSHELL或者系统权限。比如说IIS写权限漏洞，可以匿名访问IIS，并且写入ASP木马，获得WEBSHELL。比如说WEBDAV溢出，先用NC监听本地端口。再去溢出对方端口。获得一个CMDSHELL。然后通过管理命令获得远程控制权限。这些漏洞在官方没有提供解决方案之前，是没有办法修复的。如果是Linux系统的话，开放过源码了。大家可以自己修改。但是微软没公布源码。所以要随时关注微软官方发布的公告。有条件和需要的企业可以联系微软公司，申请一套Datacenter服务器系统。这款系统没有在市场发行，是微软专门为客户需要定做的一套系统。价格昂贵。赠送liense。但是安全性非常高。不过申请有点难度。因为datacenter各大企业都没有采用。就是因为它的价格。相关信息可以去看看Microsoft的系列广播和资料。在这里感谢Cloudx的帮助。在我学MCSE的时候，他帮了我很多。还是他要我去MS看广播的。网管们可以随时关注MS公布的补丁。如果对系统漏洞想研究的朋友们。可以去安全焦点或教主的0DAY公布站点随时关注漏洞利用程序的发布。然后再关注下MS的公告。对学习很有帮助。
　　3 密码
　　关于密码设置问题。这个是也很容易获得权限的。这都是人为漏洞。比如说某公司员工，为了更容易的记住密码。就随意把密码设置成生日，手机号码，姓名的拼音等。建议大家把密码设置的复杂点。特别是服务器的密码。比如说数据库和系统密码。WEB密码也要好好设置。大小写+符号。长度在10-15位左右。定期换一次密码。这样攻击者在破解你密码的时候。还没破解出来，你又改密码了。关于密码这个问题。千万不要设置成纯数字。如果是纯小写。可以在密码结尾设置2个或者3个好记点的数字。长度最好是12-17位。这个东西我就不说了。一定要把系统Administrator给改名或者停用。Guest停用。然后改名。帐户策略也要设置好。
　　4 组件和权限
　　攻击者现在拥有一个系统的帐号。你完全不用害怕他会改动你的IIS组件内设置。你可以把INTER信息服务设置一个密码。然后把系统*。msc复制到你指定的一个文件夹。再设置加密。然后只允许你的帐号使用。接着隐藏起来。那么攻击者改不了你任何组件。也不能查看和增加删除。Wscript。shell删除。 Net。exe删除。 Cmd。exe设置好权限。所有目录全部要设置好权限。如不需要。除WEB目录外。其他所有目录。禁止IIS组用户访问。只允许Administrators组进行访问和修改。还一个变态权限的设置。前面我已经说了MSC文件的访问权限。你可以设置Admin，Admin1，Admin2&&，admin只赋予修改权限，admin1只赋予读取和运行权限，admin2只赋予列出文件夹和目录权限，admin3只赋予写入权限，admin4只赋予读取权限。然后每个帐户根据需要分配配额。这样的话。就算有VBS脚本。删除了NET。EXE，对方也提不起权。如果是没运行权限的用户不小心启动了攻击者的木马。那么也没权限运行和修改。Windows提供了屏幕保护功能。建议大家还可以安装一个第三方提供的屏幕保护锁。那样你的系统又可以多一重安全保障。建议大家千万不要使用Pcanywhere等软件。除非你权限设置通过自己的测试了。Pcanywhere有一个文件系统，如果权限没分配好，用户可以通过PCANYWHERE的文件系统，在启动项写木马。然后等待你登陆。大家没这需要。建议就用默认的3389就好了。端口就算改了别人也可以扫出来。还不如就用默认的。攻击者在获得你系统权限并登陆到3389以后。你的第二道安全锁(第三方系统锁)把他死死的锁在外面了。这样别人就进不了你系统了。记住。千万不能乱开权限。不然后果不堪设想。如果是独立服务器。没必要使用WEB时，请把多余的IIS等服务关闭。以免引起不必要的损失。用优化大师禁止远程注册表的访问那些。还有IPC空连接。
　　关于服务器方面原因我就说这么多。下面在来看下网站方面的原因
　　1、上传漏洞
　　2、暴库
　　3、注入漏洞
　　4、旁注
　　现在接触到一些负责网站的人员。他们安全防护知识太差。出现一些常见的问题，就难以解决。像网站被挂马这种情况，他们一般的做法就是简单的清楚掉木马。深层次一点的攻击者所留下来的后门完全没有察觉。就这样子，没有从根本上解决问题。还有一些个人站是从网上下的免费模版建起来的站，虽然便宜，却经常会被黑客挂马，难道就不清楚这些模版的作者留有后门。还有一些是站是放在租用空间里面的，站长还以为出了问题，　　IDC商会给解决问题。我就想问下他们能解决什么呢?那又不是他们的义务。他们能做的就是提供空间，简单的维护。真正能从根本上解决问题的是没有的。
　　算了，不说了。我抛砖引玉，请高手发表高见。如何做好安全防护。愿与致立于网站安全的人员进行沟通交流。QQ：
责任编辑：admin
作者：中国红盟
延伸阅读：关键词：
站长杂谈 草根站长信息中心
兄弟网站：||||||
徐州八方网络科技有限公司 增值电信业务经营许可证： | 编辑热线：5 |
A5站长网 版权所有.网站被黑挂马终极大总结
&1、 简单挂马
首页被挂马，登录网站后，杀毒软件报警，检查后，发现首页index.asp检查，底部出现，清理掉后，页面即正常，这种挂马主要以直接修改首页文件为主，容易发现和清理。
2、 网页后门挂马
登录网站任何页面都出现杀毒报警，按之前的方法查看index.asp，并且去掉了iframe语句。但却发现问题依然存在，于是查看其他文件才发现，所有文件全部加上了挂马语句，即使恢复了首页，但用户访问其他页面的时候依然会蹦出病毒提示。采用备份文件覆盖恢复，重装等方法都实验以后，隔天后可能再出现被挂马的情况，此时应怀疑属于网页后门导致，于是检查所有asp程序文件，攻击者往往会采用一些双扩展名的文件存放在，例如图片目录当中，xxxx.jpg.asp文件，打开来看代码类似于&%execute request（&sb&）%& 这样的语句，明显是一句话后门，从文件名来判断，这种伪装图片的后缀上来的文件，应怀疑是提交图片功能存在上传漏洞，建议停用或者采用云锁进行过滤和检查网页木马。
3、 数据库挂马
访问首页病毒报警，全盘查找，没有发现首页和其他文件被篡改，如果对比所有文件的md5，发现文件没有任何篡改的迹象，也就是说文件还是那些文件，为啥会出现挂马页面呢？可以考虑检查数据库中表单是否被挂马，网页木马并没有挂在文件里，而是挂在数据库内容里。原理是首页调用活动新闻的时候，从数据库里读出表单内容，形成网页，因此读取的地方被插入了挂马语句，通过日志分析可以看到类似漏洞的log：
/news.asp?id=8 '
/news.asp?id=8 and 1=1&
/news.asp?id=8 and 1=2--
可能最初会有一些探测语句。最后发现挂马的动作：
/news.asp?id=8 ' update news set ziduan='' where id=8'
从此判断应该是news.asp存在注入问题，因此加入对变量类型判断和关键字过滤等工作，再将数据库中的挂马字段进行修改。可用云锁轻松拦截这些语句。
4、 文件调用挂马
应查看被调用的其他页面，常见的conn.asp等被包含的文件，有可能被插入后门，为啥修改这一个文件就能这么大威力呢？因为所有页面都调用了这个文件来连接数据库。文件可能会包含数据库的ip端口用户名及密码。此时应对数据库进行检查，例如数据库日志寻找一下是否有类似执行masterxp_cmdshell的记录，攻击者可能利用该扩展功能执行了系统命令来修改了文件，建议修改数据库口令，把数据库权限降到pubilc。将1433端口利用ipsec进行屏蔽，只允许本机访问。用云锁的防火墙功能进行拦截，并且可以扫描出被挂马的文件。
5、 arp挂马
用户反映访问网站的时候，杀毒软件提示病毒，但是登录服务器自己访问http://127.0.0.1或本地ip，却没有发现被挂马，但是所有用户通过域名去访问，就会有提示，可以通过服务器上进行抓包分析，检查是否能发现大量arp包，这种arp包通常是将服务器的mac地址转向另一个ip，利用arp协议进行挂马，这种情况的花需要在交换机上进行mac和ip地址绑定，在交换机上进行配置以后。
6、 域名劫持挂马
直接在服务器通过ip访问就正常，用户通过域名访问就是提示有病毒，此时ping 自己网站域名的时候，如果显示的ip和真实的不一样，需要赶紧查看域名解析是否被修改，登录域名管理后台，修改为正常的，并且修改管理密码。
7、 后台程序挂马
更新网页的后台程序，一般会使用一些熟悉的路径，例如：
这种后台程序的链接虽然不公开给用户，但是经常容易被猜到，那么这种情况下，后台的用户名密码可以利用暴力破解的工具来穷举，理论上说破解只是时间问题，攻击者登录后台以后，就可以很方便的直接修改内容进行挂马，往往修改后台地址路径是个很费劲的工作，因为修改路径以后还需要考虑调整其他相关的程序，路径都要改成一致，可以利用云锁重定向功能完成。
网页被植入恶意后门或者暗链、挂马，虽然看起来直接影响的是网站访问者，但实际上网站也会产生损失，例如搜索引擎的排名由于反复的中毒、关机重装导致迅速滑落位置，甚至有时候直接被提醒含有恶意代码，客户久而久之也会慢慢流逝，所以需要尽早利用云锁来解决这些问题。
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】