zoukankan      html  css  js  c++  java

  • 记某站被搜索引擎入侵

    几日前分析了一网站丢失数据的问题,结果发现竟然是被搜索引擎入侵了,记录下这有趣的过程,更提醒web开发新手,一定要注意网站权限判断的流程,不要留死角。事情的经过是这样:

    同事告诉我有一个asp企业站经常丢分类列表的数据,重新上传原网站后过一段时间,数据还是会丢。一听是asp的,结合这种表现基本确定被入侵了。为了速战速决,直接使用对比工具对线上站点和本地备份对比,直接查找可能被修改文件。结果出乎意料,竟然没有文件被改动,虽说采用的fck也有上传漏洞,但是网站并没有被上传网马之类的工具。

    asp的网站,一般就是fck有上传漏洞或者是存在注入被入侵,而且伴随着的一般都会有网马的存在。但是网站后台目录做了修改避免被猜出,所以fck编辑器的位置也不容易找到。网站本身既然没有一点痕迹,那就直接分析日志。

    首先,查看数据库证明确实因为数据库的数据被删除导致的分类丢失,因此登录后台查看分类的管理功能,发现删除分类页面url类似:

    /admin_sfdas/productmanageen.asp?Action=Del&id=66

    因此直接在网站日志中搜索”Action=Del”,发现以下日志:

    #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
    2012-04-26 17:16:26 W3SVC176210711 19.48.37.85 GET /admin_sfdas/productmanage.asp Action=Del&id=65 80 – 124.115.0.139 Sosospider+(+http://help.soso.com/webspider.htm) 302 0 0
    2012-04-26 17:16:26 W3SVC176210711 19.48.37.85 GET /admin_sfdas/ProductManage.asp – 80 – 124.115.0.139 Sosospider+(+http://help.soso.com/webspider.htm) 200 0 0

    这就是入侵痕迹啊,怎么访问源是soso的蜘蛛啊?难道这么小的企业站也有高手惦记?这年头高手用伪造搜索引擎来避免被查到?直接google下源ip,发现也确实是soso的。

    在此至少知道了分类丢失原因,就是通过后台的删除功能删除的。那他是怎么找到后台的(文件夹名不是那么好猜测)?而又是怎么登录的呢?继续接着前面的日志往前分析,通过日志慢慢找到了原因:

    原来前台页面上,有个地方调用了后台的客户留言功能,所以后台隐藏的再好,就这么简单的被暴露了。只是暴露了后台路径也没事啊,毕竟还有权限的判断。可问题是权限判断防浏览器(人)不防蜘蛛啊?为啥这么说呢,这就是开发人员不注意导致的一个问题了,一般我们会写一个权限的判断函数,如果满足就继续执行,如果不满足就跳转到登陆页。思路没错,错在很多人在跳转到登录页时使用的是html或js的跳转脚本,而没有写页面停止执行的函数,从而导致下面需要权限的代码还是会执行的。所以蜘蛛通过客户留言功能提交了留言(现在蜘蛛很聪明,可以提交简单的数据从而分析隐藏的页面,bbs蜘蛛也会自动注册哦),而提交留言后会进入列表页面,此时浏览器会提示无权限并跳转到登陆页,可蜘蛛就通过这个页面获取了后台其他页面连接,他就顺着这些链接最后爬到了分类的管理页面,然后就顺其自然的爬行了删除分类的链接,完成了一次搜索引擎的入侵。

    好吧,就这么不知不觉的被搜索引擎入侵了。其实这样的问题瑞星也出现过,比如现在这个网站也存在相同的问题,这里留个连接让蜘蛛趴趴,看看能不能出现好玩的事情。

    ps:看日志确实发现有人批量入侵,现在很多出售整站的,就是这样得到整站资源的。

    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /kxsuweb.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /web.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /web.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /svzdyouxi.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /youxi.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /youxi.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /lmaimanhua.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /manhua.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /manhua.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /qzsymh.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /mh.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /mh.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /nzypgame.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /game.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /game.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /ehokweb.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /web.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /web.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /lfuewebroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /webroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /webroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /ftcpwebroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /webroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /webroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /wnhb网站备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /网站备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /网站备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /fmnd备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /mqxedodo.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /dodo.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /dodo.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /tuuidodo.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /dodo.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /dodo.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /mlwswww.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /www.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /www.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /mkeiwww.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /www.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /www.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /wsvywwwroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /wwwroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /wwwroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /ravfwwwroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /wwwroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /wwwroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /ciokftp.txt – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /ftp.txt – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
    2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /ftp.txt – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
  • 相关阅读:
    a 去虚框
    清除浮动
    【IE6】float:left margin-left翻倍【浮动块增加属性:-display:inline;】
    linux学习笔记(九):系统运行状况查看、磁盘、网络
    linux学习笔记(八):管理文件、文件搜索、文件查看、文件对比
    linux学习笔记(七):shell命令语法
    linux学习笔记(五):开机、关机、开机日志
    Windows 10 远程桌面出现身份验证错误:要求的函数不受支持(解决)
    (转) java 通过 jdbc 链接 ms sql server 中出现 "no suitable driver for ..."
    (转)ArcGIS Runtime for Android 使用异步GP服务绘制等值线
  • 原文地址:https://www.cnblogs.com/swarb/p/9924396.html
Copyright © 2011-2022 走看看