网站被入侵后需做的检测(精选6篇)由网友“HoShi”投稿提供,以下是小编整理过的网站被入侵后需做的检测,欢迎阅读与收藏。
篇1:网站被入侵后需做的检测
来源:PConline
先分析入侵者都做了些什么!
记得为了方便在他机器上装了RADMIN.登陆了一下.密码也不对了.看来是有人上去了.而且入侵者还拿到了系统管理员权限
跑到机房.拿出ERD COMMANDER.改了密码.重启,进入系统后第一步升级帐户.多了一个hud$的用户.administrators组.删除,再看guest用户虽然禁用状态,但是说明内容不对了.仔细一看.administrators组.同样删除,接着看了下其他用户.组别都正常.把远程连接权限都去掉后.帐号方面算是处理完了.
接着看看各个硬盘C:\下面有如下文件
sqlhello.exe
sqlhello2.exe
result.txt
1.bat
2.bat
编辑了下1.bat,里面内容都是扫描整个网段.看来是有人拿这台机器当跳板了.移动所有文件到其他目录.
接着审计应用程序,考虑这台机器的用途和环境
是WINDOWS+IIS+SERV-U
先看SERV-U审计用户.看看有没有别人加system权限的FTP用户.查看下来没有.
执行权限也没有.锁定目录状态都是对的.
看了下没有记录日志.
然后看了版本.
5.0.0.4...ft了.早让他升级.就是不升.看来是被入侵的第一步.先升级到6.0.0.2
FTP这里应该没什么问题了.
IIS方面的分析:
开着日志记录.太好了.等会儿分析日志
继续看.其他都是默认配置.先在应用程序映射里把所有的文件类型都删除干净只保留.ASP和.ASA
审计文件权限
设定各个分区和目录的权限.
接着审查木马情况.由于系统不能重装.所以只能加固原有已经被入侵的系统,考虑到这个入侵者添加的用户的情况以及在C根目录放文件还有日志都是开放等等情况,估计水平不会很高.也不会植入自己编写的木马.
使用了朋友thrkdev编的ATE来查了一遍.看来没有已知木马.
接着查找WEBSHELL,考虑到入侵者水平.最多也就用用海阳.而且最多也就把部分版权信息去掉,搜索所有内容包含lcx的.ASP文件.
果然.4个文件.
.asp
ok.asp
dvbbs7.asp
aki.asp
看来分析还是比较准确的.除了dvbbs7.asp有点创意,移动这些文件到其他目录.供以后审计用.
然后是网络部分
TCP过滤未开.IPSEC未指派.
先把NETBIOS关掉.然后TCP内只允许20,21,80,3389
考虑到反向木马的可能性
在IPSEC内打开本机SPORT 20,21,80,3389到外部任意端口.其他从内部往外的一律屏蔽.
系统萃取.把一些无关服务与软件关闭或者卸载.
对系统进行补丁升级.还好补丁还是没有缺.把自动UPDATE设置到自动安装.
最后一步是分析日志.看看有没有遗漏的地方,系统本身的日志都被关闭了.看来入侵者还是比较小心.
打开该审计的部分.在关键目录.比如系统目录加上了审计.使得所有对C:\WINNT的创建文件的成功与失败都记录在日志内.
由于前面提到SERV-U日志原来并未记录.只能打开IIS日志查找对于找到的4个WEBSHELL的访问情况,找到了访问的IP.回查.来自一个固定IP地址,浏览了一下.得到信息后给对方管理员去邮件通知他们做好安全工作,
其实还有一些部分内容应该做而限于有些条件没有做的.
1.更换系统默认用户用户名
因为兄弟他们对计算机不熟.就没有更换.不过要求他们使用更加强壮的密码了
2.对于加密的webshell的查找
上述内容中对于WEBSHELL只查找了一种.并且只针对明文编码的页面程序进行了查找,应该是可以加入对于编码后ASP WEBSHELL的搜索.
还有搜索内容应该由简单的LCX扩展到wscript.shell等更加广泛与匹配的关键词的查找
3.对于木马的查找
由于预估入侵者水平不高.所以这项只依靠杀木马软件进行了搜索.如果有时间的话.还是应该手工进行查找
4.对页面程序进行评估
也有由于时间关系.没时间对原有网站程序进行检查.
5.入侵测试
由于入侵检测很可能被入侵者的思路带着走而忽略了其他薄弱环节.
所以检测完毕应该最好进行完全的测试.保证其他路径是同样强壮的.
篇2:入侵检测aspx网站的经验
1、
对一般遇到.net的网站时
通常会注册个用户
第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过
2、
第二种就是注入了, 在?id=xx后加单引号 “ ' ”
一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面
而且国内大多.net都是使用MSSQL数据库
发现注入点也可以从login下手 其实这个方法目前的成功率在75%
3、
不过遇到搜索型的,和没错误信息回显的时候 在这里就卡住了
大家可以看看网上一篇 搜索型注入的文章 运气好,数据库和WEB在一起
直接在搜索里写备份LOG语句 如果输入框限制字符 可以本地做个POST表单
也可以用WsockExpert抓包 对search.aspx?后的值分析后加注入语句
获取路径就更好办了 只要web.config里
代码如下:
那么只需要在任意一个文件名前
如allyesno.aspx 改为~allyesno.aspx 顺利获得WEB绝对路径
4、
运气好,发现登陆后台:
比如:allyesno.cnblogs.com/admin/login.aspx
如果输入密码错误返回到allyesno.cnblogs.com/admin/error.aspx
如果输入allyesno.cnblogs.com/admin%5Cindex.aspx说不定可以饶过验证,
入侵检测aspx网站的经验
,
5、
后台饶过方法:
'or''='
'or''='
或者
'or'='or'
'or'='or'
篇3:入侵检测网站之快速查找注入点
subeihack
现在有很多防注入程序屏蔽了 and、1=1、1=2 类似这样的关键字,使用这样的方法有时不能探测到注入点了.那么是否有新的方法能够探测注入点呢? 经过一段时间的研究,发现了更好的方法.哈哈,特此共享一下.
现在假设有一个新闻页面,URL 是 http://gzkb.goomoo.cn/news.asp?id=123,
1. 在浏览器中打开,可以看到一个正常的新闻页面;
2. 在URL地址后面加上-1,URL变成:http://gzkb.goomoo.cn/news.asp?id=123-1,如果返回的页面和前面不同,是另一则新闻,则表示有注入漏洞,是数字型的注入漏洞;在 URL地址后面加上 -0,URL变成 http://gzkb.goomoo.cn/news.asp?id=123-0,返回的页面和前面的页面相同,加上-1,返回错误页面,则也表示存在注入漏洞,是数字型的.
否则:
3. 在URL的地址后面加上'%2B',URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2B',返回的页面和1同;加上'2%2B'asdf,URL地址变为:http://gzkb.goomoo.cn/news.asp?id=123'%2Basdf,返回的页面和1不同,或者说未发现该条记录,或者错误,则表示存在注入点,是文本型的.
为什么这样可以呢?
我们可以从程序的角度来考虑一下.程序员的这条语句大致应该是这样的:
select * from news where id=123
当我们在后面加上 -1 后,语句变为
select * from news where id=123-1
SQL服务器在执行这条语句时会进行运算,实际执行的是:
select * from news where id=122
这样选出来的就是另外一条新闻记录了.如果该记录存在,就是另一则新闻;否则会显示记录不存在,或者出错.呵呵. 这也同时表示程序未对输入的数据进行过滤,存在数值型的注入漏洞.
如果 SQL 语句时这样的:
select * from news where id='123'
那么我们在后面加上 '%2B' 之后,语句变为
select * from news where id='123'+''
%2B 是 + 的URL编码. 这样之后,SQL服务器实际执行的是:
select * from news where id='123'
会返回同样的页面.
加上 '%2B'asdf 之后,语句变为
select * from news where id='123'+'asdf'
实际执行的是:
select * from news where id='123asdf'
返回页面不存在,或者显错. 这就表示有文本型的注入漏洞.
测试例子:以下三个地址,用 and 1=1 的方法来测试,都会有放注入程序提示,但是用 -1 的方法均可以测试出是注入点:
http://www.snedu.gov.cn/readnews.asp?id=2703
http://zsb.szu.edu.cn/Article.asp?id=99
http://gs.njust.edu.cn/dsjs.asp?id=659
篇4:检测Unix是否被入侵的快捷方法
鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法,
简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。例如:
两个运行的inetd进程(应该只有一个);
.ssh以root的EUID运行而不是以root的UID运行;
在“/”下的RPC服务的核心文件;
新的setuid/setgid程序;
大小迅速增长的文件;
df和du的结果不相近;
perfmeter/top/BMC Patrol/SNMP(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量;
dev下的普通文件和目录条目,尤其是看起来名称比较正常的;
/tc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在;
/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点),
如果您发现这样的名称,但实际上却是个目录的话,那么你的系统十有八九存在问题。
也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。
另外,还要密切注意那些隐蔽的信任关系。例如,NFS上主机之间是怎么挂载的?哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目?哪台主机有.netrc文件?该主机与谁共享网段?您应该继续对它做一番调查。通常攻击者不止破坏一台主机,他们从一台主机跳到另一台,隐藏好踪迹,并开放尽可能多的后门。
如果您有任何可疑的发现,那么请联系您的本地计算机紧急事件响应小组,来帮助检查网络的其他主机,并恢复受损站点。
篇5:M网站发现设计缺陷可导致hotmail被入侵
6月8日外电消息,微软日前表示,他们在M网站中发现了一处安全漏洞,该漏洞允许 入侵用户的hotmail电子邮件账户,为此,微软还被迫临时关闭了该网站。
微软称,M网站ilovemeenger.m.com/存在跨站点脚本错误。 可以利用该漏洞诱骗用户点击恶意URL链接,这样就可以获得用户的hotmail登录cookie,从而达到访问用户hotmail账户的目的,
Hotmail是全球最为流行的电邮服务,现有激活用户约亿多。上周六,一名荷兰程序师AlexdeVries首先发现该漏洞,据悉,跨站点脚本漏洞属于网站设计缺陷,被微软视为严重的安全漏洞。
微软代表在一份电子邮件声明中称:“hotmail用户目前无任何威胁,我们已经关闭了‘ILoveMeenger’站点。”该站点主要为M信使用户提供表情、显示图像和背景等服务。
微软还表示,一旦问题得到解决,他们会再次开放这个网站。上周,微软M韩国站点还被植入了木马程序,用来盗取用户的密码信息。目前恶意程序已被清除。
篇6:检测网站是否被Google标识为不安全浏览
在使用Google搜索的时候,有时会出现此网站危险,因为有些网站可能包含恶意代码或病毒,有可能会危害用户电脑安全,这种提示,相信大多人都见过,这是个很贴心的功能。那我们是否可以单独使用它?答案是肯定的,因为Google有一个安全浏览诊断工具,允许我们单独对单个网站进行安全检查。
这个安全浏览诊断工具实际就是Google的一个网页链接,只要我们把要检查的网站域名写在链接最后即可:
www.google.com/safebrowsing/diagnostic?site=域名
www.google.com/safebrowsing/diagnostic?site=域名&hl=zh-cn (中文显示)
比如要检查seohelper.cn是否安全,直接将kuqin.com放在链接末端后按回车即可:
www.google.com/safebrowsing/diagnostic?site=kuqin.com 或者
google.com/safebrowsing/diagnostic?site=kuqin.com&hl=zh-cn(中文显示)
Google会详细列出网站的检测结果,包括网站是否已被列为安全怀疑对象、Google以往对该网站的测试结果、网站是否担当了恶意软件的传播媒介及网站自身是否提供恶意软件等,
如果Google发现网站有问题,它会给出直接的结果,告诉你网站已被列为怀疑对象。
如果你在Google搜索结果里看到这个网站,就会看到它被标上“该网站可能含有恶意软件,有可能会危害您的电脑。”
利用安全浏览诊断工具,我们可以很方便地单独测试某个网站是否安全。如果你的网站被Google标记为危险对象,请按谷歌的建议进行复审。
排除方法:
google:该网站可能会损害您的计算机提示警告问题的排查远离消除解除处理方法
关于恶意软件警告:“该网站可能会损害您的计算机”
★ 网络安全论文
★ 大党委工作制度
【网站被入侵后需做的检测(精选6篇)】相关文章:
学校电脑使用管理规定2022-09-11
实行标本兼治,保证安全生产2024-04-19
医疗机构规章制度目录及内容2023-02-19
熏蒸证明2022-11-16
驾驶技能准考证明的有效期是多久2022-10-04
销售公司员工规章制度2023-08-30
超滤膜性能指标检测技术现状2023-02-14
如何做好寒冷冬季的外墙外保温施工?2022-09-25
企业计算机管理规章制度2024-01-30
服务器专用软件防火墙点评2022-05-08