• 呼和浩特市工路公司 > 天津第三市政公路工程有限公司

  • 天津第三市政公路工程有限公司

    免费下载 下载该文档 文档格式:PDF   更新时间:2011-11-02   下载次数:0   点击次数:1
    CUSTOMER
    S E RV I C E
    CENTER
    客户服务中心
    天津第三市政公路工程有限公司
    1、用户情况 ,在访问该网站时候会 用户近期向客户服务中心反馈其单位网站(http://www.tjsz3.cn) 出现自动跳转到恶意网站下载病毒程序, 安装杀毒软件的电脑会提示存在病毒, 一些尚未安 装杀毒软件或者杀毒软件未及时更新的电脑访问后会出现电脑死机或蓝屏的现象,危害极 大,给客户单位造成了很大的压力。 用户的整体架构是门户网站用的是 WINDOWS2000SERVER 操作系统,安装了 SP4 补 丁,数据库用的是 SQL2000 SP4,网站代码类型是 ASP 编写,WEB 服务器是 IIS 架设模式。 2、问题沟通 用户向瑞星客户服务中心反馈后, 工程师首先对于问题进行分析。 导致网站出现异常情 况的原因主要有两种, 一种是网站服务器存在病毒, 出现这样的现象是服务器本身病毒体感 染的原因;另一种情况是用户网站被黑客入侵,植入木马链接后,服务器被挂马导致用户访 问出现病毒情况。 在与用户沟通这些情况后, 首先工程师让用户将网站服务器安装的企业版杀毒软件升级 至最新版本进行扫描,用户扫描后清除了一部分病毒,但通过分析病毒日志,这些病毒并非 是导致网站异常的原因。 工程师随即判断用户的故障是网站被挂马所导致, 因此根据网站被挂马的一些通常现象 进行问题确定。首先通过瑞星“云安全网站联盟”来判断网站是否存在被挂马的 URL,通 过检查工程师发现有 瑞星“云安全网站联盟” ,是国内网站提供实时挂马预警、黑客入侵检测等服务。这是 国内首个针对互联网网站的综合安全服务平台,通过联盟的预警功能,在服务器被挂马、遭 遇黑客侵袭的时候,会第一时间收到瑞星“云安全”系统的警告信息 用户在无助的情况下打电话瑞星企业服务部, 询问了相关的处理此类问题的人员, 经过 工程师的指导,告诉了用户此类情况是典型的网页挂马模式,应该是网站程序上存在 SQL 注入漏洞,导致黑客攻击了此台服务器并形成了网页挂马。 什么是 SQL 注入? 所谓 SQL 注入式攻击,就是攻击者把 SQL 命令插入到 Web 表单的输入域或页面请求 的查询字符串,欺骗服务器执行恶意的 SQL 命令。在某些表单中,用户输入的内容直接用
    1
    CUSTOMER
    S E RV I C E
    CENTER
    客户服务中心
    来构造(或者影响)动态 SQL 命令,或作为存储过程的输入参数,这类表单特别容易受到 SQL 注入式攻击。 常见的 SQL 注入式攻击过程类如: (1) 一般 ASP.NET Web 应用有一个登录页面,这个登录页面控制着用户是否有权访 问应用,它要求用户输入一个名称和密码。 (2) 登录页面中输入的内容将直接用来构造动态的 SQL 命令,或者直接用作存储过 程的参数。 (3) 攻击者在用户名字和密码输入框中输入"'或'1'='1"之类的内容。 (4)用户输入的内容提交给服务器之后,服务器运行上面的 ASP.NET 构造出查询 用户的 SQL 命令,但由于攻击者输入的内容非常特殊,所以最后得到的 SQL 命令变成: SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。 (5)服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息 进行对比。 (6)由于 SQL 命令实际上已被注入式攻击修改,已经不能真 证用户身份,所以系 统会错误地授权给攻击者。 如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询, 他就会尝试输入 某些特殊的 SQL 字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。 系统环境不同, 攻击者可能造成的损害也不同, 这主要由应用访问数据库的安全权限决 定。 如果用户的帐户具有管理员或其他比较高级的权限, 攻击者就可能对数据库的表执行各 种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表。 3、处理流程 通过工程师与客户的交流,给出一个处理的方案,通过 IIS 的日志可以查检出 IIS 的运 行状态,知道这段时间内做的操作,通常一般黑客会利用 IIS 进行操作,所以需要检查一下 IIS 的日志,看是否有日志记录。如图:
    2
    CUSTOMER
    S E RV I C E
    CENTER
    客户服务中心
    首先在 IIS 日志中大约目录占用 1 个多 G 的空间, 建议用户删除了以前的较久的日志, 给出空间记录新的日志,在调试过程中,发现 IIS 记录日志 ,只要发现对 IIS 的操作, 都会记录到日志里,可以避免以后出现类型情况无法找出原因。然后检查了 SQL2000 的数 据库大小,发现属 情况,20M 左右。CPU 的使用状态属 ,未发现其它程序不停的 调用。通过新建一个 TSET.HTM 文件,通过 HTM 编码,写入代码保存一个默认的 HTM 文 件,测试了网页的浏览速度,改为默认页,然后刷新浏览,发现速度是正常,一般本地的是 2-3 秒左右,然后删除了测试页面。然后通过 minisniffer 工具进行抓包,如图:

    下一页

  • 下载地址 (推荐使用迅雷下载地址,速度快,支持断点续传)
  • 免费下载 PDF格式下载
  • 您可能感兴趣的
  • 呼和浩特市路虎4s店  呼和浩特招聘临时工  呼和浩特猎头公司  呼和浩特石化公司  呼和浩特自来水公司  呼和浩特公交总公司  呼和浩特公交公司  呼和浩特燃气公司  恒大呼和浩特公司