网站被黑的一次经历

最新推荐文章于 2024-02-16 16:30:52 发布
最新推荐文章于 2024-02-16 16:30:52 发布
阅读量866 收藏 1
点赞数 1
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smxdgf/article/details/105731388
版权

看了《和黑客斗争的 6 天!》(https://blog.csdn.net/ityouknow/article/details/104666810?ops_request_misc=&request_id=&biz_id=102&utm_source=distribute.pc_search_result.none-task-blog-2allsobaiduweb~default-0),觉得很有意思。把自己的经历记下来,既是一次经历的总结,也可以做为以后工作的经验。恰好前段也经历了这么一件事,便记了下来。

一、同事反馈百度搜索单位官网异常事件

周五刚下班回到家,同事电话说在百度搜索单位官网,搜索页面上出现一些与单位无关的内容,但打开单位网站是正常的。我第一印象就是网站被黑了。于是立刻远程关闭网站,接下来开始查看网站被黑后留下的痕迹。
接下来说一下我们网站的情况。我们的网站是三年前上线,有同事负责日常维护。我去年工作调整到信息部门工作,因此我对网站很少关注。我们的web服务器采用的是windows2012R2的IIS8.5,网站是用PageAdmin 3开发的,数据库采用的是access,数据库名称仍为系统原来的V3.mdb,后台路径也是原来的e/master。打开数据库发现网站新添加一个管理员帐号,原来的admin帐号密码被篡改,webset数据表wzdescription字段被篡改为一个赌博网站相关信息。
于是把数据库被篡改的信息恢复,删除可疑帐号。又在网站中查找留下的痕迹。查了一圈没有发现什么异常的文件(以前在管理其他网站时,遇到过被黑后在网站中留下一些文件名很怪异的后门或者木马),正在准备结束查看的时候,看到Global.asax文件,虽然前面打开过,没发现什么异常,但总感觉哪里不对劲。于是又打开文件,只有一行代码:<%@ Application Language=“C#” %>。关闭文件后,又瞪着屏幕发呆。突然发现了问题:只有一句代码,文件何来的5KB?于是再次打开,果然窗口右边有滚动条。下拉滚动条,终于发现隐藏在后面的代码。把代码删除后,又把数据库名称和后缀都进行了修改。然后实在累了就去休息了,看明天会有什么情况发生。(因为只找到Global.asax这一个地方肯定不完全,至于其他的明天看情况再说吧)。

二、再次被黑

第二天一早打开网站,又被黑了。看来不好好清理一下网站留下的后门,加固一下网站安全是不行了。于是下载了D盾web应用防火墙、OWASP ZAP对网站进行扫描,以对网站进行体检。
D盾扫描结果
D盾扫描结果

从D盾扫描结果来盾,一共有五个后门,前两项多功能木马和后门两年前就已经被植入网站,最近又在三张图片中植入eval后门。

在这里插入图片描述
ZAP扫描结果
在这里插入图片描述
被植入脚本的图片

从ZAP扫描结果看网站有一个Medium级的风险,四个Low级的风险。Medium风险是X-Frame-Options Header Not Set,四个Low级的风险是:X-Content-Type-Options Header Missing,Web Browser XSS Protection Not Enabled,Private IP Disclosure,Password Autocomplete in Browser。
根据这个结果,黑客很可能是利用网站配置的漏洞进行了XSS攻击。
既然网站被黑,查看主机用户列表,guest帐号已被启用、提权。

三、网站修复

根据网站扫描结果,及时处理了攻击者留下的后门,禁用guest帐号。然后根据ZAP报告,对IIS配置又进行加固。主要有以下几个方面:
1、网站目录安全。删除多余的组和用户,只留下SYSTEM Administrators,然后又添加了添加了IIS 应用程序池标识。
2、针对ZAP扫描结果,对IIS配置Header响应标头有针对性的进行配置。
在这里插入图片描述
然后又在https://securityheaders.com/网站上检测一遍,OK,A级!

四、后续问题

本以为修复完毕,上线就OK了,不过接下来的问题却没有料到。
1、接下来的几天一直关注着网站,从日志和拦截记录看,黑客还是不断地在进行攻击,只不过都被拦截,没有成功。
2、网站能运行,但后台却只能用内网地址登录,利用域名却不能登录。
3、在利用内网地址登录上传内容时,同事反映不能提交。
后来,看同事提交内容,发现同事是直接从word文档中复制,粘贴到文本框中,最后由于内容中有content标记而被拦截。因为在设置HTTP响应标头时,设置了CSP。
而关于后台用内网地址可以登录,用域名不能登录,肯定也是和CSP设置有关。而在这里面其他页面能正常显示,只有后台不能登录,在CSP中只有script-src这一项了,把script-src改为 ‘self’ ‘unsafe-inline’;问题解决。看来是后台登录页面用到脚本被拒了。

smxdgf
关注
专栏目录
一次系统被sql注入搞挂的惨痛经历
lisu061714112的专栏
04-22 2794
前言 最近我在整理安全漏洞相关问题,准备在公司做一次分享。恰好,这段时间团队发现了一个sql注入漏洞:在一个公共的分页功能中,排序字段作为入参,前端页面可以自定义。在分页sql的mybatis mapper.xml中,order by字段后面使用$符号动态接收计算后的排序参数,这样可以实现动态排序的功能。 但是,如果入参传入: id; select 1 -- 最终执行的sql会变成: select * from user order by id; select 1 -- limit 1,20 –会把后面
访问一个网站经历哪些流程
村中少年的专栏
01-04 5122
通过wireshark分析访问一个网址会经历哪些流程,访问一个网站需要哪些步骤。
网站影响其实很巨大
cainang19850211的博客
09-06 205
  最近几天连续发生很多网站BH,出现数据库问题事件。  iis7网站监控  网站打开速度查询、DNS污染、地区电信劫持等问题检测。  事件1. 14亿邮箱泄露密码明文信息查询网站  这个是国外的一个社工库,网站是国外的,打开很卡,为了防止你们做坏事,链接就不发了  经查询统计,该14亿邮箱密码库涉及知名电邮厂商注册用户,另外,还涉及一些公司企业、大学科研机构和少量政府单位的邮箱使用用户,不过数据...
WEB_网站
weixin_30244681的博客
02-09 270
题目链接:http://123.206.87.240:8002/webshell/ 题解: 进入题目,炫酷的界面 标题是网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。 御剑软件下载地址:https://pan.baidu.com/s/1YUDI2d8aOsqL80XXeQYhGA 扫一下得到后台页面 在URL中输入shell.php得到如...
IE中的X-XSS-Protection配置
bazhuang
08-26 792
Internet Explorer 8 contains a new feature to detect reflected cross-site scripting (XSS) vulnerabilities. XSS vulnerabilities enable an attacker to control the relationship between a user and a Web s...
CTF练习题——bugkuCTF 网站题目思路分析
Jum的博客
11-13 3141
今天继续战斗WEB漏洞题目,好好学习天天向上。
BUGKU-WEB 网站
最新发布
天泽岁月
02-16 568
BUGKU-WEB 网站,需要找后门文件
一次奇妙的Python压行经历
12-21
一次感觉不太能写一行,就写了两行,tcl…… a = input() print("yes" if (len(a)>=8 and a.isalpha() and (not a.islower()) and (not a.isupper())) else "no") 使用的是类似于三目运算的 if…else… ,Python...
分享一次我github被封的经历以及迁移指南
linwu的博客
08-20 6821
上星期四,我像往常一样起床上班,地铁上收到了微信消息这时候就感觉到不对劲了,到了公司我登录了自己的github,发现被封了毫无征兆,我的gmail也没有收到github邮箱。因为这个github账号我一直用来存放我的网站资料以及blog,所以很多issue都在里面,另外还有部分图床和博客示例,这个被封禁,所有资料都迁移不了。
oracle数据库块坏修复的一次经历
huangbaokang的博客
11-23 3871
由于备份失误等各种原因,遇到了磁盘损坏的问题,导致数据库存储的数据文件有问题,从原来服务器上的数据文件拷贝出来也是有问题的。 拷贝的数据文件如下: [root@ibopo-center-db seelinux]# ls cms6_zgq_data.dbf interact_data.dbf zgq_wlwz_data.dbf cms6_zgq_temp.dbf interact_tem...
web11:网站客会不会留下后门
y17861077326的博客
01-29 346
这个主要就是御剑先扫到后门,然后发现要密码。。若干参数请求无果后,只能试试密码爆破了,结果burpsuite的自带字典就可,(害,俺的burpsuite社区版怎么没有自带字典。。。那个simpe list的playload count是0.。。好难受。。)。 反正还是印证了之前总结的个普通思路:有事没事先扫扫后门,看看情况再说。 ...
XSS-Protection未配置漏洞
煜铭2011
06-20 4612
0x00 背景 HTTP XSS-Protection响应标头是Internet Explorer,Chrome和Safari的功能,当页面检测到反射的跨站点脚本(XSS)攻击时,该页面将阻止加载页面。 尽管当站点实施强大的Content-Security-Policy禁止使用内JavaScript(“不安全内联”)时。 在现代浏览器中这些保护在很大程度上是不必要的,但它们仍可以为尚未使用旧版Web浏览器的用户提供保护 支持CSP。 0x01 修复思路 配置XSS-Protection响应标头值
java xss漏洞修复_java – 如何修复XSS漏洞
weixin_39608301的博客
02-24 896
我们正在使用fortify扫描java源代码&它抱怨下面的错误:Method abc() sends unvalidated data to a web browser on line 200, which can result in the browser executing malicious code.我们在第200行的代码下面:Product和Util.java下面的getProd...
解决webBrowser 访问出现"为了保护您的安全" 的警告 和 开启IIS目录浏览功能
chr23899的专栏
10-09 7670
1.解决webBrowser 访问出现"为了保护您的安全" 的警告     在   2.开启IIS目录浏览功能
xss (跨站脚本攻击)教程
U侠学子
02-09 1945
转自: https://excess-xss.com/ Part One: Overview What is XSS? Cross-site scripting (XSS) is a code injection attack that allows an attacker to execute malicious JavaScript in another user's b
最近WEB安全扫描问题汇总
热门推荐
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
Web低危漏洞之缺少“X-XSS-Protection“头的处理方法
wzj的博客
05-25 3327
listen 9527; server_name localhost; add_header Content-Security-Policy: default-src=self; add_header X-Xss-Protection: 1; add_header X-Xss-Protection: mod=block; add_header X-Content-Type-Options: nosniff;
安全修复之Web——HTTP X-XSS-Protection缺失
CN華少的博客
04-29 1593
安全修复之Web——HTTP X-XSS-Protection缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Golang...
Web技术实现的电子购物网站设计与分析
"用web技术制作电子购物网站设计" 这篇内容是关于使用Web技术进行电子购物网站设计的课程设计概述。课程的主要目的是让学生能够...这是一次理论与实践相结合的宝贵学习经历,为未来在Web开发领域的发展打下坚实基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值