|
 | 作者: cleanclear [cleanclear]
 论坛用户 |
登录 |
| 问题现象:网站主页频繁被黑,找不到对方使用的方法。也曾有一次,web目录下若干文件丢失,其余都是对方上传了一个index.asp文件,替换了我的主页 已知的一些资料: 1、网站使用w2003的系统 2、网站新闻系统使用慧信新闻3.0 SQL版,论坛使用动网6.0SQL版,动网论坛打过补丁。惠信的新闻系统自己查到有3个文件有SQL注入问题,已经改了。其余文件有没有我还没发现。 3、SQL数据库与WEB不在同一个服务器。因此觉得通过SQL注入拿到WEB系统权限的可能性应该不大吧? 4、网站日至不正常,自从攻击开始后,网站的日志没有了。停止了记录日至的工作。我更改了保存日至的路径,重新启动网站也还是一样,没有建立新的日志文件。 5、但是在C:盘的根目录下发现wmpub\wmiislog目录,目录里面是空的,而且这个目录也删不掉,说是有程序使用,我却找不出来是哪个程序在使用。我怀疑网站没有日志纪录与此有关。 6、在网站的images目录下发现一个名为zuso.asp的asp木马,文件很长,如果有必要我也可以贴上来,文件中有"<title>天才老兵Test中</title>"字样,还有"海�����Z�WASP木�R@2005α版"等。不知道这个木马是什么时候放进去的,也不知道是怎么放进去的。删掉了,如果找不到问题所在,对方再传一个上来很容易啊。 寻求答案: 1、黑客是怎么把文件放进去的?问题出在哪里?我该怎样防范? 2、网站没有日志了,我该怎么恢复呢?那个删不掉的目录应该怎么处理? 谢谢高人能够不吝赐教!万分感谢! |
| 地主 发表时间: 04-08-16 03:56 |
 | 回复: lijingxi [lijingxi]  见习版主 |
登录 |
|
应该是ASP木马搞的贵! 建议你仔细检查SQL 漏洞! 是不是有的页面还有被注入的可能! |
| B1层 发表时间: 04-08-16 13:55 |
 | 回复: programs [programs]  论坛用户 |
登录 |
|
我估计可能使用论坛或者新闻组的漏洞上传了木马,因为我以前就干过这种事情,用的也是海洋顶的asp木马…… |
| B2层 发表时间: 04-08-17 15:08 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 请教高手,帮我看看是什么问题?