`
kongzimengsheng1
  • 浏览: 68522 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

转载_挂马

阅读更多
首次遭遇JSP挂马(JFolder),心惊胆战啊,想请教一下防治办法
fannyxjf的博客

fannyxjf 2009-09-17

网站架构是Struts2+Hibernate+Spring,数据库是sql server 2005,web容器是tomcat6,服务器的操作系统是windows server 2003,要说上传功能的话,唯一的上传渠道就是fckeditor里的上传。

昨天发现tomcat的webapps目录下有不知哪里来的war包:dream.war和userpass.war,好奇访问了一下 {webroot}/dream,界面跟这个网址一样(这位可怜的站长也被挂马了):http: //informationtimes.dayoo.com/bison/go.jsp。心里顿时一凉:不会是传说中的挂马吧。。。

后来把这两个war包删除,请教了一下信息安全专业的同学的意见,检查了数据库,xp_cmdshell没有开启,排除了数据库注入的可能(其实这个我也云里雾里的不知道什么意思)。然后google了一下“fckeditor木马”,发现fckeditor还真有上传木马的漏洞,猜想可能跟这个有关。不过我这个网站只有后台管理里面有fck,而且能够登录的账号也就有限的那几个,难道账号被人破解了。。。。



现在得到的一些建议就是给系统打补丁,用杀毒软件和360查杀,经常更换系统密码等常规做法,不知道各位还有没有其他的建议?还有就是能不能解释一下,那两个war包是怎么传到webapp下的?我觉得要搞清楚挂马的原理才能确定怎么防治……


引用 收藏
AreYouOK?的博客

AreYouOK? 2009-09-18
引用
那两个war包是怎么传到webapp下的?我觉得要搞清楚挂马的原理才能确定怎么防治……

可能有很多种办法,不好说一定是什么通过什么途径。
很多开发人员觉得天经地义的做法,都有可能成为被利用的漏洞。有兴趣可以研究一下入侵的手段,你会发现很多利用都是非常巧妙的。

web应用,最常见的两类漏洞就是SQL注入和XSS(跨站脚本),前者对威胁服务器,后者威胁终端用户。
要杜绝这两类问题,技术、原理都是非常简单的,就是很多开发人员根本没有那个意识。另外对xss来说,每个字段都要escape一下,是个体力活。

引用
(其实这个我也云里雾里的不知道什么意思)

你最好弄清楚那是怎么回事,否则也不太可能很好的杜绝这类问题。
举个例子来说,针对注入的:
假设你是个论坛吧,他可以发个帖子(或者是其他的文本),把木马(他用来执行操作系统命令的jsp文件)放到帖子的正文里面,传到你的数据库的某个字段里面。
然后利用注入,执行数据库的命令,将字段里面的内容备份到文件系统的一个文件中,这样木马就传上去了。
问题1:他怎么知道哪个表哪个字段?
如果存在SQL注入,他是能分析你的数据库结构的。当然这需要比较高级的手段。不过针对很多通用的论坛系统或者是建站系统,数据库就是已知的了。
问题2:他怎么知道webapps的路径在哪里?
a、通过app server的漏洞可能会暴露脚本的路径;
b、有的服务器的错误页面会显示脚本的路径;
c、通过注入漏洞或其他漏洞获得管理员的帐号以后,进入管理界面,能够得到很多信息;
d、其他手段;

我这里只是个大概的说法,没有太多细节,因为我也没有专门研究过怎么黑别人的网站。不过针对注入、XSS的文章,网上一大把一大把的。

-----------------------------------------
预防措施:

一定要杜绝SQL注入问题,这个问题非常严肃,SQL注入可以利用的手段非常多,后果也非常严重。

除了操作系统的补丁,第三方软件的漏洞也会降低安全性。你这里至少包括数据库、tomcat、fck、甚至jdk、第三方jar等等都可以升级到大版本下的最新的补丁版本(即你用jdk1.5不一定要升到1.6,但要升级到1.5系列的最新版本)。

少留管理后门。管理员的密码要设置好。管理员越少越好,很多入侵都是从这里进入的,一点技术含量都没有,你还觉得黑客好高深。

最小权限原则,这个原则永远有用
针对数据库帐号,只授予最小的权限。
使用一个普通的操作系统用户运行tomcat,因为你是windows,NTFS默热是所有用户都可以读写的,所以你修改一下文件系统的权限,只让tomcat的用户能写log、tmp、fck的上传目录。fck的上传目录设置在web-inf下。这样即使黑客通过其他用户,比如数据库用户上传了 jsp木马到你的war下,他也不能随意执行copy命令。
fck只允许上传特定的文件,比如pdf、doc、jsp。(总不能上传jsp吧)

关闭不需要的服务。
分享到:
评论

相关推荐

    计算机网络_挂马_攻击机制与防范措施

    计算机网络_挂马_攻击机制与防范措施,kdh文件

    挂马代码 10个挂马代码

    10个挂马代码10个挂马代码10个挂马代码

    网站漏洞与挂马检测

    网站漏洞与挂马检测

    网页多种挂马代码,JS

    ### 网页挂马代码分析 #### 一、IFrame挂马技术 **知识点:** 1. **IFrame的基本用途与挂马原理** - IFrame(Inline Frame)是HTML文档中的一个内联框架,它允许在当前页面内嵌入另一个页面。 - 挂马原理在于...

    挂马网站分析追溯技术与实践

    《挂马网站分析追溯技术与实践》一书深入探讨了挂马网站的分析与追溯技术,为网络安全领域提供了宝贵的资源。挂马网站是指那些被恶意植入代码,利用访问者的计算机安全漏洞来传播恶意软件的网站。这类网站已成为网络...

    如何进行网站挂马检测与清除

    "网站挂马检测与清除" 网站挂马是一种常见的网络攻击方式,指的是攻击者在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入恶意代码,这些恶意代码主要是一些包括IE等漏洞利用代码。用户访问被挂马的...

    Flash挂马.rar

    Flash挂马文章让你学习如何用Flash挂马,非常好的文章,强烈推荐

    网页挂马清理

    网页挂马清理是网络安全领域中的一个重要话题,主要指的是检测并清除网页中隐藏的恶意代码,这些代码通常由黑客植入,用于在用户访问受感染的网页时悄悄地在用户的计算机上安装恶意软件。"木马守护神 罩页挂马清理...

    网站挂马检测器

    大家是否在为网站有漏洞、网站被挂马而不知道所头疼?大家是否在为网站的安全、是否会被人入侵所担忧? MHTSoft推出了“门户通网站挂马检测器”,从此不再让您担忧!您只需轻按键盘、轻点鼠标,就可以实现对整个目录...

    常见挂马方式

    常见挂马方式

    详解网站挂马方法

    详解网站挂马方法/教会你如何渗透网站挂马,抓肉鸡等

    挂马的各种方式

    根据提供的文件信息,本文将对“挂马”的各种方式进行详细解析。挂马是一种常见的网络攻击手段,通过在网站上植入恶意代码,使访问者在不知情的情况下受到感染。以下将从不同的技术角度来探讨这些挂马方法。 ### 1....

    网页挂马分析专家 MDecoder

    网页挂马分析是网络安全领域的重要话题,而MDecoder正是针对这一问题的专业工具。这款软件的主要功能在于检测和分析网页是否遭受了挂马攻击,即不法分子通过在网页中嵌入恶意代码,来控制或者窃取用户的计算机资源或...

    SEO及网站挂马

    SEO及网站挂马

    网页挂马代码:X利用方式

    ### 网页挂马代码:X利用方式 #### 知识点一:网页挂马的概念与危害 网页挂马是指攻击者通过篡改或在合法网站上植入恶意代码,当用户访问这些被篡改的网页时,恶意代码会在用户的计算机上自动执行,导致用户的系统...

    asp网站挂马检测 检测网站是否被挂马

    asp网站挂马检测 检测网站是否被挂马 一个ASP写的程序

    超级短的网络挂马

    一款超级段的 挂马代码 简单 好用 是在 你们看就行了

    URLSnooperSetup 网站挂马查询

    URLSnooperSetup 查询网页上所有链接 挂马查询

    护卫神·网页挂马清理工具 v1.0

    护卫神·网页挂马清理工具是一款完全免费的专业清理网页挂马代码的绿色实用小工具,主要是针对网页被频繁挂马的情况而研发的小软件,可以帮助您从海量文件中迅速定位挂马代码并清除,减少您的工作量。 Tags: 挂马...

    解析以安装名义入侵的ActiveX挂马

    解析以安装名义入侵的ActiveX挂马解析以安装名义入侵的ActiveX挂马

Global site tag (gtag.js) - Google Analytics