你好SF'ers,
我刚刚有人破解我的客户网站之一。 他们设法改变一个文件,以便网站上的结账页面将支付信息写入文本文件。
幸运的是,不幸的是,他们塞满了代码,打破了网站,所以我马上就知道了。
我有一些他们如何设法做到这一点的暗示:
我的网站CMS有一个file upload区域,您可以上传图片和文件在网站中使用。 上传仅限于2个文件夹。 我在这些文件夹中发现了两个可疑文件,并检查了这些文件的内容,这些文件允许黑客查看服务器的文件系统并上传自己的文件,修改文件甚至更改registry项?
我已经删除了一些文件,并更改了密码,正在尝试保护CMS并限制file upload的扩展。
还有什么其他的你可以build议我试着找出更多关于他们如何进入的细节,还有什么我可以做,以防止在未来呢?
如果您的(客户)网站已经被盗用,那么您应该先将其脱机。 你无法轻易certificate黑客没有安装rootkit。 您必须假设该服务的所有数据都已被泄漏,并可能丢失。 为了您的利益,我希望您不要将信用卡或其他支付数据存储在未encryption的SQL数据库中,或将其存储在同一系统中的某个密钥上。
然后,您必须从已知的良好映像中重build该映像,并从最后一次已知的良好备份中恢复。 这是确定的唯一方法。 将它从轨道上移开。
至于弄清楚他们如何进入你的系统,看看人们login时的事件日志,也可能审计日志,可能会告诉你他们是否从上传区域执行了任何代码。 这将为您提供良好的学习体验,特别是在网站公开访问区域的可执行权限以及审计和日志logging方面。
您的首要任务就是在已知的好服务器上重build网站,并保护原来的网站。
你可能会发现这个“ 从受损系统中恢复 ”一个有趣的阅读。
罗伯特·莫尔(RobertMoir)对这个问题的高度赞扬的回答可能也会帮助你。
我的网站CMS有一个file upload区域,您可以上传图片和文件在网站中使用。 上传仅限于2个文件夹。 我在这些文件夹中发现了两个可疑文件,并检查了这些文件的内容,这些文件允许黑客查看服务器的文件系统并上传自己的文件,修改文件甚至更改registry项?
正是由于这个原因,file upload区域非常危险。 您必须采取措施确保上传的内容不能作为黑客攻击的一部分重新使用。 如果您阻止了可执行文件的内容,那么站点上某处易受XSS影响的脚本可能会调用该代码,并在其自身的上下文 (可执行文件)下运行该脚本。
他们上传了一些他们以后可以运行的东西。 也许他们直接调用它,在这种情况下,您需要确保只有不可执行的内容才能上传到这些目录。 也许他们从其他脚本中调用它,发现这将需要通过日志文件来查看哪些脚本调用了您标识的那些文件,然后保护脚本。
一旦重build了服务器,仔细查看这些漏洞并重新评估上传目录的需求。
如果你运行的是asp.net,而且只是在你的标签上,那么你只需要在你的用户上传文件的根目录下添加这个web.config。 有了这个web.config,你不允许任何人在这个目录树上运行aspx页面。
<configuration> <system.web> <authorization> <deny users="*" /> </authorization> </system.web> </configuration> 最重要的是确保如果你有任何上传区域,这些区域就不会有任何可执行文件。
如果该区域可以通过networking访问,并且上传可以是任何东西 – 他们所需要做的就是上传一个aspx / php / etc脚本到该位置并导航到该位置以激活。
防止这个:
如果他们现在可以访问,特别是如果他们有一段时间,使用病毒检查程序可能找不到的定制软件,请确保您有一个他们没有访问过的代码的干净副本; 然后重build服务器。 是的,如果他们只有有限的访问权限可能是完全没有必要的,但是如果你不知道,那就不要冒险。
哦,是的,显然要改变所有的密码。 如果您的网站拥有拥有可读密码数据库的帐户, 如果您的网站托pipe用户的个人数据,您可能需要根据您的国家法律通知他们,也可能需要通知当局。
从IIS日志中,您应该能够查找file upload的时间以及来自哪个IP地址
最重要的是确保如果你有任何上传区域,这些区域就不会有任何可执行文件。
如果该区域可以通过networking访问,并且上传可以是任何东西 – 他们所需要做的就是上传一个aspx / php / etc脚本到该位置并导航到该位置以激活。
防止这个: