今天,揪出公司外部网站隐藏了半年的一个BUG。
外网是用asp写的,IIS服务器,混乱不堪,漏洞百出,估计已有好些年历史。
职能部门人员点开后台某个网页时,自动跳转到一个六合彩流氓网站。
信息部的同事告诉我,以前也出现过这个问题,而且也是这个六合彩网站。他们的解决办法是把整个网站文件夹用备份的替换掉。
我觉得这样不治本,运营成本很高,就想尝试着解决。其实问题很简单。
用Wireshark截包,过滤条件为
(ip.addr == addrA or ip.addr == addrB) and http (addrA为公司服务器IP地址,addrB为六合彩服务器地址)
启动wireshark监控,点击那个会跳转的链接,分析得到的数据包。
可以看到浏览器从服务器GET那个会跳转的asp页面后,随后又GET了另一个asp页面,而这个页面在服务器上是没有的,服务器返回404错误,然后浏览器就开始与六合彩服务器通信。
定位到第一个可疑的地方,那个缺失的asp页面,在服务器上web根目录下补上那个缺失的asp页面,内容为空,发现不再跳转到六合彩网站了,很奇怪。
第二个可疑的地方,404错误。找到404页面,一打开页面源码,就看到了那个六合彩网站的域名,在一句javascript语句中。开心删掉。
IIS的404页面跟网站不在同一个目录下,所以同事用覆盖的办法没能彻底解决。那个丢失的asp页面的丢失原因不明,也不知道那行六合彩代码是怎么加到404页面中的,这些都没有线索。公司外网又老又不好看,代码很不规范,数据库用的本地access文件,BUG多,内容发布经常要找我们信息部,简直不堪入目。已经在用wordpress重写,不久就可以替换掉。
918
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
