日期:2014-05-16  浏览次数:21640 次

网站被黑,请大家指点
就是一个普通的网站,用的是FCKEDITOR,我把IIS日志贴出来大家看看,能不能找出什么蛛丝马迹
2010-03-03 03:06:47 W3SVC667193110 192.168.200.131 OPTIONS / - 80 - 88.227.249.17 Microsoft+Data+Access+Internet+Publishing+Provider+Cache+Manager 200 0 0
2010-03-03 03:06:47 W3SVC667193110 192.168.200.131 PROPFIND / - 80 - 88.227.249.17 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 207 0 0
2010-03-03 03:06:53 W3SVC667193110 192.168.200.131 HEAD /a.asp;.jpg - 80 - 88.227.249.17 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 404 0 64
2010-03-03 03:06:57 W3SVC667193110 192.168.200.131 PUT /a.asp;.jpg - 80 - 88.227.249.17 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 201 0 0
2010-03-03 03:06:57 W3SVC667193110 192.168.200.131 HEAD /a.asp;.jpg - 80 - 88.227.249.17 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 200 0 0
2010-03-03 03:07:00 W3SVC667193110 192.168.200.131 PROPFIND / - 80 - 88.227.249.17 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 207 0 0
2010-03-03 03:07:10 W3SVC667193110 192.168.200.131 PROPFIND / - 80 - 88.227.249.17 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 207 0 0
2010-03-03 03:07:20 W3SVC667193110 192.168.200.131 GET /a.asp;.jpg - 80 - 88.227.249.17 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+tr;+rv:1.9.2)+Gecko/20100115+Firefox/3.6+GTBDFff+GTB7.0 200 0 0
2010-03-03 03:07:22 W3SVC667193110 192.168.200.131 GET /default.aspx - 80 - 88.227.249.17 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+tr;+rv:1.9.2)+Gecko/20100115+Firefox/3.6+GTBDFff+GTB7.0 200 0 0


010-03-03 03:08:18 W3SVC667193110 192.168.200.131 POST /a.asp;.jpg - 80 - 88.227.249.17 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+tr;+rv:1.9.2)+Gecko/20100115+Firefox/3.6+GTBDFff+GTB7.0 200 0 0
2010-03-03 03:08:34 W3SVC667193110 192.168.200.131 POST /a.asp;.jpg - 80 - 88.227.249.17 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+tr;+rv:1.9.2)+Gecko/20100115+Firefox/3.6+GTBDFff+GTB7.0 200 0 0
2010-03-03 03:08:43 W3SVC667193110 192.168.200.131 POST /a.asp;.jpg - 80 - 88.227.249.17 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+tr;+rv:1.9.2)+Gecko/20100115+Firefox/3.6+GTBDFff+GTB7.0 200 0 0
2010-03-03 03:08:52 W3SVC667193110 192.168.200.131 POST /a.asp;.jpg - 80 - 88.227.249.17 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+tr;+rv:1.9.2)+Gecko/20100115+Firefox/3.6+GTBDFff+GTB7.0 200 0 0
2010-03-03 03:09:16 W3SVC667193110 192.168.200.131 GET /secondList.aspx lx=7 80 - 207.46.204.194 msnbot/2.0b+(+http://search.msn.com/msnbot.htm) 200 0 64
2010-03-03 03:09:17 W3SVC667193110 192.168.200.131 POST /a.asp;.jpg - 80 - 88.227.249.17 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+tr;+rv:1.9.2)+Gecko/20100115+Firefox/3.6+GTBDFff+GTB7.0 200 0 0


这大概是哪方面的原因,是我程序不严谨,还是服务器那边有漏洞

请大家指点,不胜感激





------解决方案--------------------
POST /a.asp;.jpg

应该是上传漏洞

是你网站程序的问题。至于如何修复这类的上传漏洞 请自己百度。

通过日志 可以看出黑客上传了一个a.asp;.jpg的文件。 这个文件的特殊性再于,它看起来是个.jpg文件,但是通过http形式访问的话它会被解析成.asp文件。这个是iis的另一个解析漏洞。还有一个是www.xxx.com/a.asp/1.jpg 这种情况下a.asp文件夹下的1.jpg这个图片会被解析成asp文件。

a.asp;.jpg这个文件被传到你的服务器上 实际它就是黑客的一个后门 也就是一个asp网马。通过这个文件 黑客可以查看你的网站源代码,设置服务器设置不严格的话还可以通过一些方法获得服务器的权限。

事实上a.asp;.jpg这个文件放在你的电脑上 直接打开的话肯定是个图片 但是通过http形式访问的话就是一个asp文件。

百度 google应该有修复的方法。可能是你上传程序对文件的检测不是很严格吧?



------解决方案--------------------
楼上分析正确

FCKEDITOR上传漏洞 + IIS后缀解析漏洞
导致被上传a.asp;.jpg文件,并且被IIS执行

a.asp;.jpg这个文件就是你网站中的木马文件
------解决方案--------------------
援引一段原文:
“美国计算机紧急反应组近日透露,上周发现的 IIS6 WebDAV 漏洞已经被用在攻击中,这个由计算机安全专家 Nikolaos Rangos 发现的漏洞可以通过一个伪造的 HTTP 请求,查看并上传文件到 IIS6 服务器,攻击利用了微软处理 Unicode token 过程中的漏洞。
微软在一份声明中表示,尚未听说此类攻击的发生,但他们正在对此进行观察,并将提供安全顾问为用户提供帮助。漏洞只影响那些在 IIS6 中启用了 WebDAV 协议的系统,WebDAV 用来在 Web 上共享文档。
攻击者可以无需授权,查看那服务器的文件,并上传文件到服务器,独立安全专家 Thierry Zoller 确认了 Ran