论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2258阅读
  • 2回复

[求助-安全问题]解决网站后台被攻击难题 [复制链接]

上一主题 下一主题
离线ahyanglf
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2011-03-05 12:27:13
作为一名电子政务工作人员,平时主要工作就是负责行政权力阳光运行系统的管理与维护,有一次因休探亲假,离开了工作岗位10天左右,原以为系统能够安全、稳定地运行,可事实竟然事与愿违。
  后台受到攻击
  笔者尝试登录行政权力阳光运行系统的主页面,发现该网站的主页面内容竟然是黑屏,不好,难道是该系统遭遇到了黑客的攻击?由于事关重大,笔者立即以超级管理员权限登录进入服务器,查看网站主目录中的内容变化,结果发现网站下面的子文件夹中都存在default.htm文件和index.htm文件。再尝试使用IE浏览器访问对应系统的后台管理页面时,发现该管理页面也无法进入,同时IE浏览页面中还出现“您没有此项目管理权限”的提示信息。由于笔者使用的是超级管理员权限的登录账号,现在使用该账号都登录不了后台系统,看来网站后台肯定受到了不正常的攻击;同时笔者还发现,在尝试启动运行服务器系统中的金山毒霸杀毒软件时,操作也不能成功。
  故障分析处理
  从上面的故障现象来看,行政权力阳光运行系统服务器不但遭受了黑客攻击,而且对应系统也感染了网络病毒,那么究竟是什么类型的网络病毒在偷偷“捣乱”呢?遇到病毒或木马袭击的时候,笔者首先信赖的是360顽固木马专杀工具,因为该工具可以对目前各种流行的病毒和木马进行彻底地剿杀和清除;于是,笔者立即从网上下载得到最新版本的360顽固木马专杀工具,并按正确方法将它安装到行政权力阳光运行系统服务器主机中,启动运行杀毒软件对服务器系统中的所有文件进行全面、彻底地病毒查杀操作,结果发现服务器果然遭遇了机器狗病毒。既然找到了网络病毒,那么想办法清除它就显得不那么困难了;经过上网搜索,笔者发现这种类型的病毒具有高感染性和高破坏性,并且传播渠道非常多样,一旦发现局域网中有主机系统遭遇该木马病毒的袭击后,必须立即将它从网络中隔离开来。按照网上推荐的解决方案,笔者先是使用360顽固木马专杀工具清除了病毒,之后及时修复了服务器系统漏洞补丁,同时开启360实时保护。
  在清除干净机器狗病毒后,笔者又尝试访问了行政权力阳光运行系统后台管理页面,结果IE浏览界面中竟然还是出现了“您没有此项目管理权限”这样的提示,很显然服务器系统中存储网站登录账号信息的数据表可能受到了破坏,此时该采取什么措施进行处理呢?经过仔细分析,笔者决定先利用先前备份好的网站数据表进行恢复;想到做到,笔者立即找到以前的备份数据,搜索到用来保存登录账号信息的数据表,同时使用Access程序将目标数据表内容打开;之后,依次单击“文件”/“另存为”命令,将保存登录账号信息的数据表导出来,同时将该数据表的名称保持为原来的名称。按照同样的操作方法,在服务器系统中打开网站后台数据库文件,找到保存登录账号信息的数据表,选中并删除该数据表内容,再依次单击“文件”/“获取外部数据”/“导入”命令,选中并导入刚才的备份数据表信息,完成文件导入操作后,再将导入的数据表名称设置成和网站保存登录账号信息的数据表一样的名称,最后重新启动一下对应的服务器系统。重新启动操作成功后,笔者再次进行了网站后台登录访问的测试操作,幸运的是,这一次没有再让笔者失望,IE浏览器很快打开了对应网站的后台管理页面。到了这里,笔者已经能成功夺取网站的登录管理权限,解决了网站后台受到攻击的问题。
  故障原因揭密
  虽然上面的故障已经被成功解决了,但是让笔者感到有点纳闷的是,机器狗病毒是如何攻击到网站服务器的呢?经过认真检查,笔者发现行政权力阳光运行系统所在的服务器主机存在许多安全隐患:尽管该服务器位于局域网防火墙的DMZ区域,同时还有网络版的防病毒软件保护着,不过它与病毒服务器并没有处于同一个网段之中。在平时的工作中,笔者几乎每天都要采用手工方法,为服务器系统安装漏洞补丁,更新升级病毒库,但是在休假的这一段时间,病毒库以及系统补丁都没有得到更新和安装;此外,由于自己的安全访问意识比较薄弱,平时仍然使用缺省的账号登录服务器,并且账号的密码也很简单,很容易被非法攻击破解。在对上面的各个安全隐患逐一进行修复后,网站服务器的安全防护等级得到了明显提升。
  保护网站安全
  其实,无论是什么类型的网站服务器,除了依赖于局域网共有的防火墙软件和防病毒软件保护外,还要做好自身的一些安全防范措施:
  1、使用复杂账号
  登录网站后台的账号信息一定不能使用默认的数值,特别是不要轻易使用人人皆知的admin用户名,如果执意要使用这样的登录账号,必须使用足够复杂的登录密码,例如密码信息最好同时包含大小写字母、数字、符号等。
  2、堵住注入漏洞
  不少网站都存在注入式漏洞,这种类型的漏洞往往是由于网站设计不当引起的,例如攻击者可以通过cookie方式手工注入,实现窃取系统管理员权限的账号信息,也可以使用专业的注入工具注入登录账号信息。要堵住这样的安全漏洞,我们可以到网上搜索专业的漏洞修补代码;当然也有比较简单的方法,那就是将IIS服务器设置成不管出什么错误,只给出一种错误提示信息,也就是http500错误,那么非法攻击者就没办法根据IIS给出的错误提示信息进行非法入侵了。
  3、管理好数据库
  首先要记得修改网站数据库的默认名称,注意要将其扩展名调整为asp或者asa,否则网站数据库直接可以从网站中下载下来,那样一来就非常不安全了;其次要将网站数据库所在目录名称修改一下,该目录名称也尽量复杂一点;第三数据库地址也要修改一下,不能为了图方便,使用简单的地址信息。
  4、控制上传方式
  尽量不采用无组件上传,使用其他组件上传方式(比如Fileup或LyfUpload),部分无组件上传带有严重漏洞,一般可通过修改upfile.asp文件选择上传方式。此外,上传文件的权限,不能授予系统管理员权限之外的用户,否则的话容易被非法攻击者利用。
  5、注意站点绑定
  倘若我们自己没有独立的服务器主机,而是将站点放到其他用户那里进行托管时,那要注意对网站IP地址的绑定,因为非法攻击者可能会通过旁注方式对网站进行非法入侵;比如,要是非法攻击者无法在自己的网站中找到攻击漏洞时,那么他可能会利用同一主机中的其他网站漏洞实施间接攻击。所以,我们日后一定要选择信誉好的正规公司进行服务器绑定操作。
离线加贝518

发帖
26274
今日发帖
最后登录
2015-10-24
只看该作者 沙发  发表于: 2011-03-05 22:21:28
各位网站管理员得好好学习了
离线fly3000
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 板凳  发表于: 2011-04-04 11:37:41
ASP网站尽管简单但是安全性差,现在一般用PHP或者Discuz!