今天,有个网站客户打电话说他们网站打不开了,我赶紧去看一下,竟然程序报错,我看了一下网 站 程序,多了一个回车,很奇怪。把回车删除后就正常了,客户网站一直是正常的啊,怎么页面被改了呢?难道被黑了?
不过这个小黑估计是初入行,卫生打扫的不干净(我在这方面是老鸟了,嘿嘿),先看文件有没有增加,检查发现多了一个conns.asp文件,是3月19日 更新的,一看就是刚上传的后台木马,先换个名字自己运行一下看看(业余喜欢研究木马,这样才能做好防御工作啊),还好这个木马比较弱,不能跨域操作,这垃 圾木马还是删了吧,就全盘搜索,就搜出来两个,都删了。
接下来看日志,得找到小黑入手的地方啊,看哪天的日志?当然看19日的了啊,很快就发现是利用FCKeditor的测试页面进行的上传入侵,找到入口了就 好办了,先把这几个测试文件删除,然后给里面的asp文件加上session、cookie验证,把文件夹名字改一下,这下安全多了,当然还不够安全,还 要多FCKeditor的上传类型那里要加固一下。
防止黑客利用FCKeditor进行入侵
最新推荐文章于 2024-09-25 11:43:44 发布