網站被掛馬了,我想知道他是怎么進去的


自己的服務器
今天去檢查文件的時候,發現css的文件夾里多了一個文件admin.aspx文件,
下載下來一看是個木馬
我想知道他是怎么進去的?

上傳圖片的地方我都有限制后綴名的

請高手指點,謝謝

50 个解决方案

#1


數據庫操作是否存在注入漏洞,操作參數化
JS注入
掃描網站工具可使用AccessDiver、JSky等

#2


最常見的就是SQL注入了

#3


光檢查后綴名就完了啊?

得檢查文件的pe格式是否正確。

你用16進制編輯器打開圖片,你會發現同一種格式的頭尾都是有規律的。

#4


有很多種方法

對於你的,可能主要是兩種

第一:掃描你服務器網站的漏洞,根據你的漏洞制作攻擊腳本,獲得你網站程序的控制權。

第二:掃描你服務器操作系統的漏洞,根據掃描出來的漏洞尋找攻擊腳本,獲得管理權限后,上傳木馬蠕蟲,添加自動運行。

#5


飄過,測試是否登錄成功.

#6


打開圖片看看里面內容

#7


學習了。

#8


樓主 只限制圖片的后綴名是沒有用的,如果有人將圖片后面合並了別的腳本,上面的方法是沒有用的, 這樣我們可以使用 ASP.NET 的 System.Drawing.Image 對象 利用 FromStream 方法把圖片以流的形式取出來, System.Drawing.Image imgSource = System.Drawing.Image.FromStream(myFileUpload.PostedFile.InputStream); 這樣就可以達到過濾腳本的目的了

#9



我們在程序開發過程中會遇到圖片上傳的功能,如果用帶有木馬的圖片傳到服務器上會給服務器造成很大的威脅,那么我們可以通過圖片格式判斷的方式來判斷該圖片是否是真正的圖片,對於改文件后綴名的方式上傳的圖片,可以用下面的代碼來判斷

 
這樣只能限制后綴名,而已。。。
 private bool CheckFileHeader(Stream inputStream)   
 {   
     string _1stb = inputStream.ReadByte().ToString();   
     string _2stb = inputStream.ReadByte().ToString();   
     string _3stb = inputStream.ReadByte().ToString();   
   
     bool result = false;   
     switch (_1stb + _2stb + _3stb)   
     {   
         case "255216255":  //jpg   
            result = true;   
             break;   
        case "717370":  //gif   
            result = true;   
            break;   
     }   
    return result;   
 }   


#10


不一定是你上傳圖片。。有可能 哪個地方用戶輸入的 沒有過濾。。還有可能 服務器存在漏洞。。

#11


1、看服務器本身是否存在漏洞,打補丁
2、是否存在SQL注入
3、網站漏洞檢測工具  網上搜一下

#12


我是來打醬油的

#13


學習來了!

#14


SQL注入,只碰到過這個

#15


前來學習

#16


檢查一下文件,然后查看iis日志

#17


駭客么```

#18


最可能是被寫入了一句話木馬

#19


注入木馬 最主要的是sql注入···

#20


可能通過你文本編輯器的上傳功能上傳的

#21


學習了。。。

#22


首先,檢查下你的服務器是否還安全?即是否被當作肉機了。
我的電腦-右鍵屬性-本地用戶和組-用戶。看看里面有沒有新加的具有administrator權限組的用戶。

其次,進入你的數據庫,檢查一下你的數據庫中是否有新建的作業。有時候黑客就是把一個命令文件(也可能直接是sqlserver語句)放到你的電腦里,然后在作業里面調用的。

接着,看看你的iis里布署文件的權限,如果有可讀寫的權限用戶,記得把權限弄低點。

還有就可能是sqlserver的注入了。說明是你的程序的漏洞了。

#23


引用 8 樓 lester19872007 的回復:
樓主 只限制圖片的后綴名是沒有用的,如果有人將圖片后面合並了別的腳本,上面的方法是沒有用的, 這樣我們可以使用 ASP.NET 的 System.Drawing.Image 對象 利用 FromStream 方法把圖片以流的形式取出來, System.Drawing.Image imgSource = System.Drawing.Image.FromStream(myFileUpload.Po……

學習啦

#24


直接破解你FTP賬號密碼。

#25


受教了!!

#26


引用 20 樓 zzxap 的回復:
可能通過你文本編輯器的上傳功能上傳的

同意
用了fck沒有啊,fck版本老點的,都有漏洞啊
還有ftp用戶名與密碼復雜程度,不能太簡單了,否則很容易被工具掃描出來
然后就是你程序的處理了,上傳文件驗證,參數過濾防sql注入啊

#27


支持下,頂起。

#28


學習學習

#29


學習一下!

#30


一般來說都是經過上傳時的漏洞上傳了“間諜頁面”,然后通過該頁面完成類似“全站插入某代碼”的功能。

#31


除了上述的一些情況,
還有一種,就是你的服務器是否和內網有連接?

當內網某個機器中毒了,它也會通過內網傳播類似的東西。

#32


經過一系列排查,發現是通過FCK上來的
現在問題是他傳了一個文件夾上來
Nyl..這是文件夾名,我刪除不掉,郁悶
帶..的文件夾名不知道他是怎么創建的,
該怎么刪除,各位有遇到過嗎?

#33


Dos 可以創建

Dos也可以刪除吧...

#34


額 是..喲  我以為是\ / * : .....是可以用Dos創建的.. 不清楚啦

#35


開始→運行→cmd 
輸入 x: 回車 到該文件夾盤符
輸入 rd/s/q Nyl...\ 回車 (注意是3個點) 

#36


有個目錄叫做 psy.20 dg.20 ずぢ ..20 y.
不能打開,也不能刪除

#37


象這種的你得借助工具了,比如360粉碎啊什么的,在安全模式下試試

#38


服務器要是重新啟動會很麻煩的

#39


引用 38 樓 whb147 的回復:
服務器要是重新啟動會很麻煩的

那只能找台其他機器先把服務接過去,象這種情況,建議還是重起在安全模式下好好查查
做好安全再開,否則后患無窮

#40


該回復於2010-12-02 13:15:07被版主刪除

#41


看樣子,高手不少.
路過,學習,
能不能說的詳細一點啊.

#42


引用 8 樓 lester19872007 的回復:
樓主 只限制圖片的后綴名是沒有用的,如果有人將圖片后面合並了別的腳本,上面的方法是沒有用的, 這樣我們可以使用 ASP.NET 的 System.Drawing.Image 對象 利用 FromStream 方法把圖片以流的形式取出來, System.Drawing.Image imgSource = System.Drawing.Image.FromStream(myFileUpload.Pos……



頂!!!!!不過還需要細化昂。。。

#43


引用 1 樓 wuyq11 的回復:
數據庫操作是否存在注入漏洞,操作參數化
JS注入
掃描網站工具可使用AccessDiver、JSky等


頂!先用一些工具分析一下,找到漏洞,會被掛,肯定是存在漏洞!

#44


木馬程序
SQL攻擊 萬能密碼LZ有防止???
防止下載的Response.end();
LZ是否寫了??
如果別人學的是反射技術 LZ的網站估計就掛了

#45


最簡單的 : SQL注入 -> 得到后台用戶名密碼 -> 登陸 -> 創建 
最好看看程序是否存在漏洞~ 比方你的SQL語句是否嚴謹 ~ 其實所謂的SQL注入 就是在你SQL語句基礎上
加了點“精妙”的SQL語句而已,呵呵!好久沒玩過了~現在好像很流行 IE ODAY,O(∩_∩)O~

 如果你的SQL語句中 沒有WHERE之類的,最好多加個 WHERE 1=1 當然了,現在這個也很難防止了。。。
如果你以前沒試過SQL注入的話,那么第一步先把IE菜單=>工具=>Internet選項=>高級=>顯示友好 HTTP 錯誤信息前面的勾去掉。否則,不論服務器返回什么錯誤,IE都只顯示為HTTP 500服務器錯誤,不能獲得更多的提示信息。

寫的不好別拍我哦~      




每當哥被人罵的時候,哥總是默默的低下頭,不是哥的修養好,而是哥在找磚頭!

#46


幫頂!!

#47


受教了,正在檢查自己的網站。。。看看有沒有

#48


把你的WEB服務器的日志拿出來分析一下就知道是怎么把文件給你放進去的了。

#49


用jsky,億思平台這些可以掃描出來!

#50


用jsky,億思平台這些可以掃描出來!

注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com