第一天,自从去年5月接手现在这个网站的程序开发与管理以来,一直相安无事.但前几天,网站编辑突然说页面上多出了以一些奇怪的英文字母,一看是:"<scrip src='www.xxx.com/xxx.js></script>"糟糕,被挂木马了,由于以前试过一次托管服务器的机房网关出问题,而让我们的页面都被挂马,第一反应是可能他们的网关又出事了,远程连接服务器,一查页面源代码,这次是我们的页面本身出了问题.是数据库里面的char/text字段被加了代码,应该是被注入了,但自己又没有什么经验,再一查,数据库的日志膨胀到18个G,用log Explorer查日志都没响应了,查不出他用什么什么样的语句更改我的数据库,再加上我接手前,已经有N个程序员为这个网站写程序,站内的文件多不胜数,根本不知道他通过什么页面来注入,只好先把数据库里的内容用备份还原回来,然后在与被改页面的相关页面中,加入防注入的代码,这样,第一天就过去了...
第二天,一回来,编辑说有些网站打开报错,一看又被加代码了,这次更严重,存放全站通用的页头页脚代码的表被加了代码,所有页面都出了问题,还原原先的数据,又在相应的页面加了防注入的语句,下午,这个表又被加了代码,晕死,防注入不成吗?还是有另外的页面文件也可以注入这个文件?回复数据以后,查了一下,晕死,这里用的防注入代码文件所有语句居然都被注释掉的.就在查的过程中,又被加代码了,看来这个黑客已经把我们盯上了...这样下去不行啊,....第二天下班,我把网页数据库暂停了.
第三天,苦想了一晚,想到一个办法,全站页面操作数据库的页面都需要引用一个数据库连接的文件,在那个文件中加一段代码,记录每个打开的页面的页面文件名、get的字符串,post的字符串,远程的ip,还有内部登录的员工号,这样,只要黑客是用再来,我就可以知道他是用哪个页面、什么语句来进行注入的了,马上实施,然后祈祷,黑客先生你快快来吧。。。。。但不知道为什么,黑客先生今天可能很忙,一直都没有再现身。。。。。(待续...)
第二天,一回来,编辑说有些网站打开报错,一看又被加代码了,这次更严重,存放全站通用的页头页脚代码的表被加了代码,所有页面都出了问题,还原原先的数据,又在相应的页面加了防注入的语句,下午,这个表又被加了代码,晕死,防注入不成吗?还是有另外的页面文件也可以注入这个文件?回复数据以后,查了一下,晕死,这里用的防注入代码文件所有语句居然都被注释掉的.就在查的过程中,又被加代码了,看来这个黑客已经把我们盯上了...这样下去不行啊,....第二天下班,我把网页数据库暂停了.
第三天,苦想了一晚,想到一个办法,全站页面操作数据库的页面都需要引用一个数据库连接的文件,在那个文件中加一段代码,记录每个打开的页面的页面文件名、get的字符串,post的字符串,远程的ip,还有内部登录的员工号,这样,只要黑客是用再来,我就可以知道他是用哪个页面、什么语句来进行注入的了,马上实施,然后祈祷,黑客先生你快快来吧。。。。。但不知道为什么,黑客先生今天可能很忙,一直都没有再现身。。。。。(待续...)