2007/06/08

網頁被竄改

教育部的伺服器已經搬到資訊處的機房來維修了。

經過蘇大哥一番解釋以後,才知道原來駭客在根目錄底下放了二個檔案,而且其他的網頁也被改過。用 Total Commander 把硬碟上的資料和備份的資料比對以後,發現幾乎所有的 ASP 檔案都增加了幾個 bytes,打開一看發現網頁最後方都用 iframe 連到另一個網站,難怪防毒都會跳出視窗警告,連網頁也被 Google 封鎖。

把根目錄那二個超大的 ASP 打開來看,前半部是二進位資料,後半部是程式,不過怎麼看都不像 ASP,網路上也沒這程式的資料。

把前後得到的結果整理一下:伺服器前有硬體防火牆,而且只開了 port 80;伺服器上也有防毒軟體;大部分的網頁都被竄改、還多了二個怪怪的檔案;伺服器設定、密碼都沒有被更動。

我在猜,可能是駭客先利用網頁上面的漏洞 (SQL Injection) 上傳那二個怪怪的檔案,因為放在根目錄的 ASP 是可被執行的,所以我懷疑那就是所謂的「Web Shell」程式。等 web shell 跑起來以後就可以讓駭客輸入指令讓伺服器執行。

So....以後網站的目錄、檔案權限不能開太高,最好設定成 744 就好,Windows 底下可以考慮設定成唯讀,只開放幾個目錄供上傳檔案就可以了。

我也實在有夠代塞,期末考前二天居然要出差到台北教育部,想害我大學讀五年嗎?

SQL Injection:
SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲
拒絕SQL Injection
SQL Injection之解決建議措施及相關資訊彙整

1 則留言:

  1. Hello, 這個情況剛好我們學校也發生,原本以為被入侵或是被人直接利用漏洞來竄改,不過我對這台主機還蠻有自信,就去找負責上傳該網頁的老師,發現原來是該師的電腦就已經中標了,它再把已被竄改的網頁放上來,所以.......你可能得檢查一下放這些 asp 網頁的原始電腦囉!

    回覆刪除