网站被黑的一次经历

最新推荐文章于 2024-02-16 16:30:52 发布
最新推荐文章于 2024-02-16 16:30:52 发布
阅读量864 收藏 1
点赞数 1
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smxdgf/article/details/105731388
版权

看了《和黑客斗争的 6 天!》(https://blog.csdn.net/ityouknow/article/details/104666810?ops_request_misc=&request_id=&biz_id=102&utm_source=distribute.pc_search_result.none-task-blog-2allsobaiduweb~default-0),觉得很有意思。把自己的经历记下来,既是一次经历的总结,也可以做为以后工作的经验。恰好前段也经历了这么一件事,便记了下来。

一、同事反馈百度搜索单位官网异常事件

周五刚下班回到家,同事电话说在百度搜索单位官网,搜索页面上出现一些与单位无关的内容,但打开单位网站是正常的。我第一印象就是网站被黑了。于是立刻远程关闭网站,接下来开始查看网站被黑后留下的痕迹。
接下来说一下我们网站的情况。我们的网站是三年前上线,有同事负责日常维护。我去年工作调整到信息部门工作,因此我对网站很少关注。我们的web服务器采用的是windows2012R2的IIS8.5,网站是用PageAdmin 3开发的,数据库采用的是access,数据库名称仍为系统原来的V3.mdb,后台路径也是原来的e/master。打开数据库发现网站新添加一个管理员帐号,原来的admin帐号密码被篡改,webset数据表wzdescription字段被篡改为一个赌博网站相关信息。
于是把数据库被篡改的信息恢复,删除可疑帐号。又在网站中查找留下的痕迹。查了一圈没有发现什么异常的文件(以前在管理其他网站时,遇到过被黑后在网站中留下一些文件名很怪异的后门或者木马),正在准备结束查看的时候,看到Global.asax文件,虽然前面打开过,没发现什么异常,但总感觉哪里不对劲。于是又打开文件,只有一行代码:<%@ Application Language=“C#” %>。关闭文件后,又瞪着屏幕发呆。突然发现了问题:只有一句代码,文件何来的5KB?于是再次打开,果然窗口右边有滚动条。下拉滚动条,终于发现隐藏在后面的代码。把代码删除后,又把数据库名称和后缀都进行了修改。然后实在累了就去休息了,看明天会有什么情况发生。(因为只找到Global.asax这一个地方肯定不完全,至于其他的明天看情况再说吧)。

二、再次被黑

第二天一早打开网站,又被黑了。看来不好好清理一下网站留下的后门,加固一下网站安全是不行了。于是下载了D盾web应用防火墙、OWASP ZAP对网站进行扫描,以对网站进行体检。
D盾扫描结果
D盾扫描结果

从D盾扫描结果来盾,一共有五个后门,前两项多功能木马和后门两年前就已经被植入网站,最近又在三张图片中植入eval后门。

在这里插入图片描述
ZAP扫描结果
在这里插入图片描述
被植入脚本的图片

从ZAP扫描结果看网站有一个Medium级的风险,四个Low级的风险。Medium风险是X-Frame-Options Header Not Set,四个Low级的风险是:X-Content-Type-Options Header Missing,Web Browser XSS Protection Not Enabled,Private IP Disclosure,Password Autocomplete in Browser。
根据这个结果,黑客很可能是利用网站配置的漏洞进行了XSS攻击。
既然网站被黑,查看主机用户列表,guest帐号已被启用、提权。

三、网站修复

根据网站扫描结果,及时处理了攻击者留下的后门,禁用guest帐号。然后根据ZAP报告,对IIS配置又进行加固。主要有以下几个方面:
1、网站目录安全。删除多余的组和用户,只留下SYSTEM Administrators,然后又添加了添加了IIS 应用程序池标识。
2、针对ZAP扫描结果,对IIS配置Header响应标头有针对性的进行配置。
在这里插入图片描述
然后又在https://securityheaders.com/网站上检测一遍,OK,A级!

四、后续问题

本以为修复完毕,上线就OK了,不过接下来的问题却没有料到。
1、接下来的几天一直关注着网站,从日志和拦截记录看,黑客还是不断地在进行攻击,只不过都被拦截,没有成功。
2、网站能运行,但后台却只能用内网地址登录,利用域名却不能登录。
3、在利用内网地址登录上传内容时,同事反映不能提交。
后来,看同事提交内容,发现同事是直接从word文档中复制,粘贴到文本框中,最后由于内容中有content标记而被拦截。因为在设置HTTP响应标头时,设置了CSP。
而关于后台用内网地址可以登录,用域名不能登录,肯定也是和CSP设置有关。而在这里面其他页面能正常显示,只有后台不能登录,在CSP中只有script-src这一项了,把script-src改为 ‘self’ ‘unsafe-inline’;问题解决。看来是后台登录页面用到脚本被拒了。

smxdgf
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一次系统被sql注入搞挂的惨痛经历
lisu061714112的专栏
04-22 2785
前言 最近我在整理安全漏洞相关问题,准备在公司一次分享。恰好,这段时间团队发现了一个sql注入漏洞:在一个公共的分页功能中,排序字段作为入参,前端页面可以自定义。在分页sql的mybatis mapper.xml中,order by字段后面使用$符号动态接收计算后的排序参数,这样可以实现动态排序的功能。 但是,如果入参传入: id; select 1 -- 最终执行的sql会变成: select * from user order by id; select 1 -- limit 1,20 –会把后面
访问一个网站经历哪些流程
村中少年的专栏
01-04 5098
通过wireshark分析访问一个网址会经历哪些流程,访问一个网站需要哪些步骤。
网站影响其实很巨大
cainang19850211的博客
09-06 204
  最近几天连续发生很多网站BH,出现数据库问题事件。  iis7网站监控  网站打开速度查询、DNS污染、地区电信劫持等问题检测。  事件1. 14亿邮箱泄露密码明文信息查询网站  这个是国外的一个社工库,网站是国外的,打开很卡,为了防止你们做坏事,链接就不发了  经查询统计,该14亿邮箱密码库涉及知名电邮厂商注册用户,另外,还涉及一些公司企业、大学科研机构和少量政府单位的邮箱使用用户,不过数据...
WEB_网站
weixin_30244681的博客
02-09 270
题目链接:http://123.206.87.240:8002/webshell/ 题解: 进入题目,炫酷的界面 标题是网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。 御剑软件下载地址:https://pan.baidu.com/s/1YUDI2d8aOsqL80XXeQYhGA 扫一下得到后台页面 在URL中输入shell.php得到如...
IE中的X-XSS-Protection配置
bazhuang
08-26 790
Internet Explorer 8 contains a new feature to detect reflected cross-site scripting (XSS) vulnerabilities. XSS vulnerabilities enable an attacker to control the relationship between a user and a Web s...
CTF练习题——bugkuCTF 网站题目思路分析
Jum的博客
11-13 3123
今天继续战斗WEB漏洞题目,好好学习天天向上。
BUGKU-WEB 网站
最新发布
天泽岁月
02-16 555
BUGKU-WEB 网站,需要找后门文件
一次奇妙的Python压行经历
12-21
一次感觉不太能写一行,就写了两行,tcl…… a = input() print("yes" if (len(a)>=8 and a.isalpha() and (not a.islower()) and (not a.isupper())) else "no") 使用的是类似于三目运算的 if…else… ,Python...
一次HTTP请求经历了什么?
二手认知
11-25 938
程序员一定被问过这个问题: 我在浏览器输入一个网址,后面发生了什么? 有人要说了,这么老的问题也拿出来说: 就是HTTP协议呀,服务端也使用HTTP协议接收,我们就是这么做的,很简单。。。 上面的回答可能是很多工程师真实的工作体验,现在的技术领域分工高度发达,我们引入一个库就可以高效地开发应用了,完全不需要也没时间去了解底层发生了什么。 那么底层究竟发生了什么呢?事实上这个老问题真的不算简单,可延伸的幅度非常宽广,我们按照下面几个问题慢慢展开: 问题1: 生成HTTP报文后,怎么发出去的?问
一次从某多多上买的斐讯N1盒的电视盒子刷机经历
chenge5400的博客
01-17 7721
在某多多以100多的价格买了一个带电源的N1盒,连上电源和HDMI线开机,显示的是一个不断刷新信息的不知道啥系统。于是,抱着玩机的心态,我从网上找了各种把这个盒子刷成电视盒子的文档,最终参考了博客园的一个叫jonnyan的大神写的博客,和一个有着自己网站的大神Luminous的博客,这里我把他们博客的链接先放这,以表敬意,欢迎大家到他们的博客页面学习和请教知识。 jonnyan大神的博客页面《N1如何完美刷入armbian系统教程》 Luminous大神的博客页面《斐讯N1探索手记#2 – 使用ddbr恢
web11:网站黑客会不会留下后门
y17861077326的博客
01-29 343
这个主要就是御剑先扫到后门,然后发现要密码。。若干参数请求无果后,只能试试密码爆破了,结果burpsuite的自带字典就可,(害,俺的burpsuite社区版怎么没有自带字典。。。那个simpe list的playload count是0.。。好难受。。)。 反正还是印证了之前总结的个普通思路:有事没事先扫扫后门,看看情况再说。 ...
java xss漏洞修复_java – 如何修复XSS漏洞
weixin_39608301的博客
02-24 894
我们正在使用fortify扫描java源代码&它抱怨下面的错误:Method abc() sends unvalidated data to a web browser on line 200, which can result in the browser executing malicious code.我们在第200行的代码下面:Product和Util.java下面的getProd...
解决webBrowser 访问出现"为了保护您的安全" 的警告 和 开启IIS目录浏览功能
chr23899的专栏
10-09 7654
1.解决webBrowser 访问出现"为了保护您的安全" 的警告     在   2.开启IIS目录浏览功能
最近WEB安全扫描问题汇总
热门推荐
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
Web低危漏洞之缺少“X-XSS-Protection“头的处理方法
wzj的博客
05-25 3319
listen 9527; server_name localhost; add_header Content-Security-Policy: default-src=self; add_header X-Xss-Protection: 1; add_header X-Xss-Protection: mod=block; add_header X-Content-Type-Options: nosniff;
安全修复之Web——HTTP X-XSS-Protection缺失
CN華少的博客
04-29 1591
安全修复之Web——HTTP X-XSS-Protection缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Golang...
一次真实的网站经历
weixin_30553837的博客
06-25 3524
前言 距离上次被DDOS攻击已经有10天左右的时间,距离上上次已经记不起具体那一天了,每一次都这么不了了只。然而近期一次相对持久的攻击,我觉得有必要静下心来,分享一下被的那段经历。 在叙述经历之前,先简单的介绍一下服务器配置情况: ECS 1核2G内存1MB带宽,Linux系统 RDS 2核240MB内存,最大连接数60 Redis 256MB共享实例,搬家之后没用到 CDN 按量付...
bugku web11 网站黑客会不会留下后门
PRCORANGE的博客
04-08 319
打开题目: 按照习惯打开F12 并没有得到有用信息,由题目猜测网站还有其他入口,使用御剑后台扫描该网站 发现shell.php 随便输入一个密码,使用bp抓包,发现密码是明文传输 尝试开始爆破 多试几个字典 得到密码hack 得到flag ...
谈谈机器视觉的那点事儿!
weixin_42696672的博客
04-26 924
机器视觉基础认知,目前的瓶颈在哪里?现状如何?
写一篇关于自己电脑中病毒的经历300个字
05-18
我曾经遭遇过一次电脑病毒的攻击,这给我带来了很多麻烦和不便。 当时,我正在使用我的电脑进行工作和学习,但是突然间电脑变得非常缓慢,程序运行也异常困难。我开始怀疑我的电脑中是否感染了病毒,于是立即进行了杀毒软件的扫描。然而,扫描的结果并没有发现任何病毒或者恶意软件。我开始感到有些困惑,但是我并没有放弃寻找问题的原因。 几天后,我在使用电脑时,突然弹出了一个奇怪的广告页面,并且我的浏览器开始自动打开一些我从未访问过的网站。我开始意识到我的电脑确实被感染了病毒。我决定重新安装系统,并且重新安装了所有软件。最终,我成功地清除了电脑中的病毒,并且所有的问题都得到了解决。 这次经历让我意识到保护自己的电脑免受病毒攻击的重要性。我从那时起开始更加注意电脑的安全,定期更新杀毒软件,并且保持警惕,防止自己的电脑再次被攻击。这次经历也让我更加了解了电脑病毒的危害,以及如何保护自己和他人的电脑不受攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值