我怎样才能知道我的网站*如何*被黑客入侵？ 如何查找站点漏洞？

Question

我定制开发的一个 ASP.NET 网站今天遭到黑客攻击：“被 Swan 黑客攻击 (请停止战争！...）” 它使用 ASP.NET 和 SQL Server 2005 以及 IIS 6.0 和 Windows 2003 服务器。 我没有使用 Ajax，并且我认为我在连接到数据库的任何地方都使用存储过程，所以我不认为它是 SQL 注入。 我现在已经删除了文件夹的写入权限。

我如何才能查明他们对网站进行了哪些攻击以及如何防止此类情况再次发生？

服务器已更新所有 Windows 更新。

他们所做的是将 6 个文件（index.asp、index.html、index.htm...）上传到网站的主目录。

我应该上传哪些日志文件？ 我有以下文件夹中的 IIS 日志文件：c:\winnt\system32\LogFiles\W3SVC1。 我愿意把它展示给你们中的一些人，但我认为发布在互联网上不好。 有谁愿意看一下吗？

我已经在谷歌上进行了搜索，但我唯一发现的是其他网站已被黑客攻击 - 我还没有看到任何有关它的讨论。

我知道这与编程并不严格相关，但这对于程序员来说仍然是一件重要的事情，并且很多程序员都被这样黑过。

Answer 1

对您网站的攻击似乎是 SWAN 于 2008 年 11 月 21 日针对运行 IIS 6.0 的 Windows 2003 和 Windows 2000 机器进行的大规模破坏的一部分。 这里的其他人提出了很多建议。 我只想补充一点，每当您决定打开该网站时，请格式化该框并从头开始重新安装。 一旦一个盒子被泄露，无论你如何清洁和净化它，它都根本不可信。

Answer 2

IIS 进程

检查您的 ASPNET 进程是否没有在服务器上写入文件的权限。 如果您需要进程具有写入权限，请仅允许他们在特定文件夹上执行此操作，并拒绝所有用户帐户对该文件夹的执行权限。

SQL 注入

要查看寻找 SQL 漏洞的人，请查看您的日志文件中是否有以下文本“CAST(”。

您是否有在代码隐藏中构建 SQL 来查询的位置数据库？这些可能容易受到 SQL 注入攻击。通过替换如下所示的代码，

Dim strSQL As String = "Select * FROM USERS Where name = '" & Response.Querystring("name") "'"

然后考虑以下替代方案，

Dim strSQL As String = "Select * FROM USERS Where name = @name"

然后将相应的 SQL 参数添加到 sql 命令中。

Answer 3

希望您已打开 IIS 日志文件，并希望黑客没有删除它们。 默认情况下，它们位于：c:\winnt\system32\LogFiles\W3SVC1，通常以日期命名。

然后了解如何使用免费的日志解析器（来自 Microsoft）可能会有所帮助。 然后使用本指南帮助您以取证方式查看日志文件。 您是否有防火墙，因为它的系统日志可能会有所帮助。

另一个可以帮助您查找 sql 注入问题的不错工具是 此处 并下载 HP 的 Scrawlr。

如果您对所发现的内容还有任何疑问，请回来询问。

Answer 4

好吧，首先：

• 你的服务器打过补丁吗？
• 您是否还残留着 FrontPage 服务器扩展、Office 网络扩展等内容？
• 您确定没有 SQL 注入漏洞吗？
• 你在谷歌上搜索过“被天鹅黑客攻击”吗？ 有很多点击，也许其中一个已经找到了他的入口

如果你确实有，或者不确定你是否有SQL注入问题，那么你可以在这里进一步询问，否则我会找一些安全专家来帮助你。

这确实是一个编程站点，因此除非您的问题与编程相关，否则它很可能会再次关闭。

Answer 5

您可能想尝试使用 Metasploit 等渗透工具包来发现任何明显的漏洞。

另外，请发布您的日志文件（如果它们未被篡改）。

Answer 6

您应该做的第一件事是检查日志文件。 您可以将它们粘贴到此处，如果我们识别到攻击，我们会告诉您。

Answer 7

设置 Google Analytics 并查看向您的网站发出的所有请求。
如果您通过查询字符串处理 SQL 注入，您可以轻松找出他们做了什么，以及他们如何发现您的漏洞。

Answer 8

FTP 是否已打开？

我曾经遇到过一位客户，由于某种原因，他们的 FTP 处于打开状态，而黑客刚刚设置了一个机器人运行，尝试随机/通用用户/密码组合。 那个黑客比你的更糟糕，因为它没有显示在网页上，而是试图安装 ActiveX...

所以，你可以检查你的 FTP 日志。