习惯一个人

经常网上漂,哪有不挨刀?相信各位博客,站长们的站点或者服务器多多少少都被入侵过吧!

今天趁元旦之际写篇有用的安全性技术文章吧,希望各位可以用到,但是更希望用不到!

先说下网站被入侵,就有哪几种可能,才会导致网站或者服务器被入侵!在谈如何应对!

假如你的网站被入侵了,我来教教你!首先需要了解网站被入侵就有哪几种可能,已经是怎么被入侵的.

第一:注入漏洞,因网站存在注入漏洞,而被导致密码泄露,然后网站被入侵.

第二:上传漏洞,因上传过滤不严格或者是有缺陷而导致被利用,上传木马被入侵.

第三:编辑器漏洞,很多编辑器多少都存在漏洞,如eWebEditor与FCKeditor的缺陷被利用.

第四:程序0ady,原程序上被发现而又未公布的漏洞利用exp,或者为0ady.

第五:弱口令,在后台管理等需要密码口令的地方,使用的管理密码为默认或者超级简单.

第六:旁注,在同一服务器上其他站点存在以上的或者未知的安全问题,加上服务器权限设置不严格.

第七:数据库,如mmsql数据库,如果使用的是sa帐号,而又碰巧出现注入漏洞,则可以被直接入侵服务器.

第八:嗅探,arp攻击,服务器上未绑定网关mac,或未装防御性的安全软件,从而导致密码口令被拦截.

第九:社会工程学,对目标进行类似人肉性的搜索,组合获得的信息猜测其管理密码口令,而导致被入侵.

第十:IIS6.0特殊文件夹漏洞,特殊文件名漏洞.系统溢出,网络渗透,则排除本文讨论范围.其它待续.

以上是我目前所知道的黑客入侵的方式,如果有更高级或者其它未知的入侵方式,那么我也很遗憾,技术太菜!

如果你的网站很不幸运的被黑客入侵了.删除木马?查杀磁盘病毒?还是直接装系统?

最好的办法是,先停止iis,建立个txt,把所发现的木马名字及其创建时间及路径,保存txt内存档.

(注意需要先修改文件夹选项的属性,选择显示所有隐藏文件,若是之前没有选择的话记得选上显示后缀!)

根据木马所创建的时间进行模糊搜索,收集其他木马名字,路径.确定被入侵的是哪些网站,及确定哪些网站安全!

完毕后,保存txt存档!调出iis日志根据之前所收集到的木马名字及时间进行搜索!找到被入侵前后的日志后存档.

此时你可以做的就是确认入侵者是怎么入侵你网站的,入侵了之后,又做了什么,就在哪里传了木马.

日志还可以告诉你,入侵者的IP是多少,如果有兴趣的话你还可以学习入侵者的入侵方法.甚至可以分析出0ady!

还有,此时,如果你想的话,可以直接打电话报警,因为入侵别人系统已经构成犯罪!

(如果入侵者使用的代理IP或者VPN的话,你选择报警了那查询真实IP的就不是你需要做的了)

(在反黑客里面,不仅仅是在IIS日志里寻找信息,不要忘了事件查看器!这个也是很重要的)

现在,就可以根据日志里的记录来确定服务器里的具体木马,或者是了解到入侵者有没有入侵到服务器里.

在就是可以确认究竟是哪个文件存在的漏洞,上传漏洞还是注入漏洞都可以在日志里确认到的.

然后嘛,该装系统的装系统,该删除木马的了就可以删除木马,已经修复在日志里发现的存在漏洞的那文件!

哎呀,服务器反黑客以及取证这个本文就先不写了吧,要不下次也不知道该写点什么好了,我先保留点,嘿嘿.

本文就到这里结束吧,以后会继续更新,还有,如果本文有存在误点或者不足,请大牛指出,习惯一个人一定会好好学习!

补充,还是那句话,技术是双刃剑,一边是网络犯罪,一边是网络安全,向左向右大家自己掂量.

本文到此结束,别的文章以后会按部就班的更新,如有问题加我Q问我,和乐意效劳

[首发N点主机前台管理系统漏洞] [原创安全技术之IP限制,杜绝被入侵后台的可能] [网站注入原理知识基础篇]

[经典案例,社工入侵独立IP的网站] [欺骗的艺术之密码安全] [MMSQL和MYSQL数据库下的安全问题] [公布个服务器安全管理工具]