• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

教育网站遭遇的三次入侵实例剖析 (1)

发布: 2007-6-10 17:10 | 作者: 浙江省绍兴市电化教育馆 周建良 | 来源: 赛迪网 | 查看: 24次 | 进入软件测试论坛讨论

领测软件测试网

第一次遭遇入侵
再次被入侵
第三次遭遇入侵


  再次被入侵

  有了第一次被入侵的经历,事后几周我心里一直忐忑不安,但不幸还是发生了。

  1. 入侵现象:一天,突然发现网站的主页文件和数据库部分数据被删除,从入侵的痕迹分析是同一黑客所为。

  2. 处理问题的过程:首先查看系统日志、SQL的日志,没有发现价值的线索,采用X-Scan、木马克星和瑞星杀毒软件自带的系统漏洞扫描工具进行扫描,系统没有严重的安全漏洞,于是问题的查找陷入了困境,幸好网站有完整的备份数据,最后只能先恢复网站的正常运行。巧的是在一周后一次通过后台管理上载文件的过程中,发现有人上载过cmd.asp、mun.asp和1.bat三个文件的操作痕迹,时间为第一次入侵期间。但机器硬盘上已无法查找到这三个文件,这是木马程序,显然这黑客比较专业,在入侵完成后自己清理了战场,但还是在网站上载记录中留下了线索,否则管理员根本无从知晓。

  3. 入侵原理:cmd.asp、mun.asp是木马程序,经过翻阅大量资料显示这类木马为ASP木马,属于有名的海阳顶端ASP木马的一种,这类木马一旦被复制到网站的虚拟目录下,远端只要用IE浏览器打开该ASP文件,就可以在Web界面上轻松地控制该计算机执行任何操作。我在网上下载了一个ASP木马,模拟测试了一下,功能非常强大,能实现远程文件上传下载、删除、用户添加、文件修改和程序远程执行等操作。1.bat文件为批处理文件,内容根据需要写入一组程序执行命令在远程计算机上实现自动执行。显然,这个木马是在黑客第一次入侵时就放上去的,一旦网管员没按他的要求就范,就可以轻松地再次实施攻击。

  4. 解决方法:为了防止仍有隐藏很深的木马,确保万无一失,我重新安装了Windows2000系统,并更换了全套用户名,密码。

<<上一页 1 2 3 下一页>>


文章来源于领测软件测试网 https://www.ltesting.net/

22/2<12

关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网