如何找出*如何*我的网站被黑客入侵？我如何查找网站漏洞？

Question

我的一个定制开发的ASP.NET网站今天遭到黑客入侵：“被黑客入侵（请停止战争！）” 它使用ASP.NET和SQL Server 2005以及IIS 6.0和Windows 2003服务器。 我没有使用Ajax，我想我在使用存储过程的地方连接到数据库，所以我不认为它是SQL injection。 我现在已经删除了文件夹的写入权限。

我怎样才能找出他们做了什么来破解网站，并采取什么措施来防止它再次发生？

服务器与所有Windows更新保持同步。

他们所做的是将6个文件（index.asp，index.html，index.htm，...）上传到网站的主目录。

我应该上传哪些日志文件？ 我有从这个文件夹IIS的日志文件：c:\winnt\system32\LogFiles\W3SVC1。 我愿意将它展示给你们中的一些人，但不认为在互联网上发布是件好事。任何人愿意看看它？

我已经在Google上搜索过，但是我发现的唯一的东西是其他网站已被黑客入侵 - 我还没有看到任何关于它的讨论。

我知道这与程序设计没有严格关系，但对于程序员来说这仍然是一件很重要的事情，很多程序员都被这样的黑客入侵了。

Answer 1

嗯，首先：

• 你有没有打补丁的服务器？
• 你有没有留下像FrontPage Server Extensions这样的东西，网络办公室扩展等遗留物？
• 你确定你没有SQL注入漏洞吗？
• 你是否搜索过“被天鹅黑客攻击”的文字？有许多命中，也许他们中的一个已经找到了他的入口

如果你有，或者是不确定，你是否有SQL注入的问题或没有，那么你可以要求进一步这里，否则我会请一些安全专家来帮助你。

这确实是一个编程站点，所以除非您的问题与编程有关，否则很可能会再次关闭。

Answer 2

你应该做的第一件事就是检查你的日志文件。你可以将它们粘贴在这里，如果我们发现了攻击，我们会告诉你。

Answer 3

IIS进程

检查您的ASPNET进程没有privilage写服务器上的文件。如果您需要该进程拥有写入权限，则仅允许他们在特定文件夹上执行此操作，并拒绝所有用户会话的该文件夹的执行权限。

SQL注入

看看人家找SQL vunrabilities在你的日志文件中查找以下文字，“CAST（”

你有什么地方，你建立SQL在后面的代码来查询数据库？这些可能是容易SQL注入攻击。通过更换代码，比如你会更安全以下。

Dim strSQL As String = "Select * FROM USERS Where name = '" & Response.Querystring("name") "'" 

再考虑像followi替代NG。

Dim strSQL As String = "Select * FROM USERS Where name = @name" 

然后将相应的SQL参数添加到sql命令中。

Answer 4

您可能想尝试使用像Metasploit这样的渗透工具包来发现任何明显的漏洞。

另外，如果它们未被篡改，请发布您的日志文件。

Answer 5

希望你已经打开了你的IIS日志文件，并希望黑客不会抹去它们。默认情况下，它们位于这里：c：\ winnt \ system32 \ LogFiles \ W3SVC1，通常会在日期后命名。

然后，找出如何使用免费的日志解析器（来自Microsoft）可能很有帮助。然后use this guide帮助您在日志文件中进行法医鉴定。你有没有防火墙，因为它的系统日志可能会有所帮助。

另一个体面的工具，以帮助您找到SQL注入问题是去here并下载HP的Scrawlr。

如果您对已找到的内容有任何疑问，请回过头再问。

Answer 6

看来您的网站上的攻击是SWAN在2008年11月21日针对运行IIS 6.0的Windows 2003和Windows 2000盒子进行的大规模毁坏的一部分。这里的其他人提出了许多事情。我只会补充一点，只要您决定调出网站，请格式化该框并从头开始重新安装。一旦一个盒子受到损害，根本无法信任它，然而，您需要清理并净化它。

Answer 7

设置Google Analytics并查看对您的网站所做的所有请求。 如果您通过查询字符串处理SQL注入，您可以轻松找出他们做了什么，以及他们如何找到您的漏洞。

Answer 8

是否打开FTP？

我曾经有一位客户因为某种原因离开了他们的FTP，并且黑客刚刚设置了一个机器人，尝试随机/普通用户/密码组合。该黑客比你的更糟，因为它没有显示在网页上，但试图安装一个ActiveX ...

因此，你可以检查你的FTP日志。