网站被攻击了

bjmike

浏览: 282886 次
性别:
来自: 北京

最近访客更多访客>>

javamingming

ahww520

petehero

fxltsbl

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

网站安全

很不幸，本人小站被攻击了，很郁闷，查看服务器日志，发现很多是sql注入，或者是php注入，由于本人是java开发者，业务爱好开发点php，只是开发者玩，没想到也被黑客顶上了，很郁闷。也不知道黑客怎么破解了，上我网站发现一个数据表被清空了，很郁闷。附带日志。以供以后参考。
分析日志发现，一个IP为66.249.77.115 的地址总是尝试着去以猜测的方式获取我网站的一些文件，如：

123.151.39.47 - - [30/Sep/2013:13:26:29 +0800] "GET /wwwroot.rar HTTP/1.1" 404 225 "http://kaixinpig.net" "Mozilla/4.0 (compatib1e; MSIE 6.1; Windows NT)"
123.151.39.47 - - [30/Sep/2013:13:26:29 +0800] "GET /chapter/wwwroot.rar HTTP/1.1" 404 225 "http://kaixinpig.net" "Mozilla/4.0 (compatib1e; MSIE 6.1; Windows NT)"
123.151.39.47 - - [30/Sep/2013:13:26:29 +0800] "GET /category/wwwroot.rar HTTP/1.1" 404 225 "http://kaixinpig.net" "Mozilla/4.0 (compatib1e; MSIE 6.1; Windows NT)"
123.151.39.47 - - [30/Sep/2013:13:26:29 +0800] "GET /assets/wwwroot.rar HTTP/1.1" 404 225 "http://kaixinpig.net" "Mozilla/4.0 (compatib1e; MSIE 6.1; Windows NT)"

尝试N多次失败后，就换成sql注入了，如：

123.151.39.47 - - [30/Sep/2013:13:26:44 +0800] "GET /search.php?modelid=4444444444%20or%201=1 HTTP/1.1" 200 14 "http://www.baidu.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.17 (KHTML, like Gecko) Chrome/24.0.1312.52 Safari/537.17"

还有php代码注入：
如：

123.151.39.47 - - [30/Sep/2013:13:26:54 +0800] "GET /search.php?query=<?php%20print(md5(1000));exit;?>&modelid=1%20or%201 HTTP/1.1" 200 14 "

最后发现该黑客执行了

123.151.39.47 - - [30/Sep/2013:13:26:38 +0800] "GET /install/install.php?action=setup&dbhost=localhost&port=3306&dbname=test&dbuser=root&dbpassword=123456&tableprefix=b2bbuilder_&guid=6F9619FF-8B86-D011-B42D-00C04FC964FF HTTP/1.1" 200 14 "http://www.baidu.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.17 (KHTML, like Gecko) Chrome/24.0.1312.52 Safari/537.17"

导致我网站所有数据初始化！！！，教训啊，安装完网站后一定记住删除install文件夹

分享到：