之前由于我一直做内网的系统,并没有体会到网页插入挂马之猖獗。今年有幸做了几个公网的网站,很荣幸的让我体会到了公网的残酷已经激烈,挂马N次,被质疑,强迫思索,但我有一段时间都没有找到合适的解决方案。我网上搜索了好久,也没有人能给出一个可行的解决方案,针对网页插入挂马这种。其实到现在我也不会这种方法,很难理解他们只是登陆你的网页,通过漏洞就能将我的网站文件源代码改动。当然我也知道,无非是微软iis或者浏览器的漏洞被他们利用了,结果他们就写了些类似网络爬虫一类的东西日夜扫描,插入。愤!
我曾经想过好久,关于网页挂马,也不是没有解决方法。我也曾找到过,但只是针对.net系列,说用网站发布编译版本,网页就没有什么内容了,也许这样可以,但是我发布后的版本传到服务器上去都不能用,也只能无果。其他的解决方法对我而言,不能说是胡说,但也是驴唇不对马嘴,无非都是千篇一律的强调代码不能有漏洞。我承认代码要有安全的写法,但是用这样的因找这样的果,还是牵强了。
不过我一直有一个解决方案,但苦于没有权限。就是既然它是更改了我的文件权限,不管他是什么方法,总之是改动了我的文件,我把文件修改权限去掉就可以了嘛?!其实这个想法估计很多人都有过,开始我也是上传过只有只读权限的文件,但没有成效。转机出现在前阵子,我们有了自己的远程主机,我可以自己在服务器设置权限了。哈哈,经过我的反复测试,我把网站尤其是首页这样的文件,没有用的用户都删掉,静态页可以只留一个iis用户,asp.net页面可以多加一个net service,然后文件再改成只读。哈哈,就可以了。中间我又中过一次挂马,不过那次是因为有些子文件我没限制全,结果证明,这种做法完全有效。再见,挂马!
另win2003系统下文件无法修改权限解决方法,用管理员帐号登录,点击文件或文件夹-右键-安全-高级-所有者-其它用户或组-高级-立即查找-(选择Adminiatrators用户组)-确定-替换子容器及对像的所有者-应用!!!!!!!
另外一次是数据库挂马,其实这个我是知道的,也就是sql注入,我从网上找过一段代码并简单修改,如下:
//SQL注入式攻击代码分析#region SQL注入式攻击代码分析
/**//// <summary>
/// 处理用户提交的请求
/// </summary>
public static void StartProcessRequest()
{
try
{
string getkeys = "";
//string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if (System.Web.HttpContext.Current.Request.QueryString != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (getkeys == "__VIEWSTATE" || getkeys == "__EVENTVALIDATION")
continue;
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
//System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.Write("<script>alert('请勿非法提交!');history.back();</script>");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (getkeys == "__VIEWSTATE" || getkeys == "__EVENTVALIDATION")
continue;
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
//System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.Write("<script>alert('请勿非法提交!');history.back();</script>");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
// 错误处理: 处理用户提交信息!
}
}
/**//// <summary>
/// 分析用户请求是否正常
/// </summary>
/// <param name="Str">传入用户提交数据</param>
/// <returns>返回是否含有SQL注入式攻击代码</returns>
private static bool ProcessSqlStr(string Str)
{
string SqlStr;
SqlStr = "'|and |exec |insert |select |delete |update |count |*|chr |mid |master |truncate |char |declare |-|;|,|/|(|)|[|]|}|{|%|@|*|!";
bool ReturnValue = true;
try
{
if (Str != "")
{
string[] anySqlStr = SqlStr.Split('|');
foreach (string ss in anySqlStr)
{
if (Str.IndexOf(ss)>=0)
{
ReturnValue = false;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
不幸的是初期我并没有解决,还是被注入了。我又不想把每个调用都改成存储过程,但sql注入也比较好找,无非都是在输入框和传值的时候。为了确定我的想法,我写了一个记录ip的小函数,每次挂马后我可以查阅我是哪个页面被骇客光顾。结果还真有效,总有一个北京网通的ip在晚上搞的鬼,并且我精确找到了那个页面。原来他喜欢在结尾有id=? 这种页面,肯定是利用这个id做文章了。嘿嘿,我就对这页面特殊处理了,我验证你的类型,谅你再怎么写都没用了。果然,加验证后再没有中马。
我很庆幸,我在最近时间同时遭受了网页插入挂马和数据库sql注入两种挂马,当然也迷惑了我很长时间,还好,被我手刃了,一个字,爽!