如何找出*如何*我的網站被黑客入侵？我如何查找網站漏洞？

Question

我的一個定製開發的ASP.NET網站今天遭到黑客入侵：「被黑客入侵（請停止戰爭！）」 它使用ASP.NET和SQL Server 2005以及IIS 6.0和Windows 2003服務器。 我沒有使用Ajax，我想我在使用存儲過程的地方連接到數據庫，所以我不認爲它是SQL injection。 我現在已經刪除了文件夾的寫入權限。

我怎樣才能找出他們做了什麼來破解網站，並採取什麼措施來防止它再次發生？

服務器與所有Windows更新保持同步。

他們所做的是將6個文件（index.asp，index.html，index.htm，...）上傳到網站的主目錄。

我應該上傳哪些日誌文件？ 我有從這個文件夾IIS的日誌文件：c:\winnt\system32\LogFiles\W3SVC1。 我願意將它展示給你們中的一些人，但不認爲在互聯網上發佈是件好事。任何人願意看看它？

我已經在Google上搜索過，但是我發現的唯一的東西是其他網站已被黑客入侵 - 我還沒有看到任何關於它的討論。

我知道這與程序設計沒有嚴格關係，但對於程序員來說這仍然是一件很重要的事情，很多程序員都被這樣的黑客入侵了。

Answer 1

嗯，首先：

• 你有沒有打補丁的服務器？
• 你有沒有留下像FrontPage Server Extensions這樣的東西，網絡辦公室擴展等遺留物？
• 你確定你沒有SQL注入漏洞嗎？
• 你是否搜索過「被天鵝黑客攻擊」的文字？有許多命中，也許他們中的一個已經找到了他的入口

如果你有，或者是不確定，你是否有SQL注入的問題或沒有，那麼你可以要求進一步這裏，否則我會請一些安全專家來幫助你。

這確實是一個編程站點，所以除非您的問題與編程有關，否則很可能會再次關閉。

Answer 2

你應該做的第一件事就是檢查你的日誌文件。你可以將它們粘貼在這裏，如果我們發現了攻擊，我們會告訴你。

Answer 3

IIS進程

檢查您的ASPNET進程沒有privilage寫服務器上的文件。如果您需要該進程擁有寫入權限，則僅允許他們在特定文件夾上執行此操作，並拒絕所有用戶會話的該文件夾的執行權限。

SQL注入

看看人家找SQL vunrabilities在你的日誌文件中查找以下文字，「CAST（」

你有什麼地方，你建立SQL在後面的代碼來查詢數據庫？這些可能是容易SQL注入攻擊。通過更換代碼，比如你會更安全以下。

Dim strSQL As String = "Select * FROM USERS Where name = '" & Response.Querystring("name") "'" 

再考慮像followi替代NG。

Dim strSQL As String = "Select * FROM USERS Where name = @name" 

然後將相應的SQL參數添加到sql命令中。

Answer 4

您可能想嘗試使用像Metasploit這樣的滲透工具包來發現任何明顯的漏洞。

另外，如果它們未被篡改，請發佈您的日誌文件。

Answer 5

希望你已經打開了你的IIS日誌文件，並希望黑客不會抹去它們。默認情況下，它們位於這裏：c：\ winnt \ system32 \ LogFiles \ W3SVC1，通常會在日期後命名。

然後，找出如何使用免費的日誌解析器（來自Microsoft）可能很有幫助。然後use this guide幫助您在日誌文件中進行法醫鑑定。你有沒有防火牆，因爲它的系統日誌可能會有所幫助。

另一個體面的工具，以幫助您找到SQL注入問題是去here並下載HP的Scrawlr。

如果您對已找到的內容有任何疑問，請回過頭再問。

Answer 6

看來您的網站上的攻擊是SWAN在2008年11月21日針對運行IIS 6.0的Windows 2003和Windows 2000盒子進行的大規模毀壞的一部分。這裏的其他人提出了許多事情。我只會補充一點，只要您決定調出網站，請格式化該框並從頭開始重新安裝。一旦一個盒子受到損害，根本無法信任它，然而，您需要清理並淨化它。

Answer 7

設置Google Analytics並查看對您的網站所做的所有請求。 如果您通過查詢字符串處理SQL注入，您可以輕鬆找出他們做了什麼，以及他們如何找到您的漏洞。

Answer 8

是否打開FTP？

我曾經有一位客戶因爲某種原因離開了他們的FTP，並且黑客剛剛設置了一個機器人，嘗試隨機/普通用戶/密碼組合。該黑客比你的更糟，因爲它沒有顯示在網頁上，但試圖安裝一個ActiveX ...

因此，你可以檢查你的FTP日誌。