ウェブサイトの遭遇した3回の侵入を分析してハッカーの侵入方法を分析します。


教育情報化の進展に伴い、各種教育サイトが大量に出現した。教育サイトの多くは学校のコンピュータ教師が自分で開発管理している小さなウェブサイトで、普通は設備、技術、専門家が不足している問題が存在しています。ウェブサイト自体には抜け穴があります。ここでは、教育サイトで遭遇した三回のハッカー侵入の分析を通じて、ハッカーの常用侵入方法と手段を分析したいと思います。初めて侵入された1.侵入現象:2004年春節、ウェブサイトの掲示板に突然「このフォーラムには抜け穴があります。管理者に修復してください」という内容が現れ、写真が貼られました。2.問題を処理する過程:まず思い付いたのは、Windows 2000の脆弱性があると思って、先にこの内容を削除して、Windows 2000サーバにアップグレードパッチを再インストールして、より厳格なセキュリティ設定を完成し、パスワードを全部変えました。枕を高くして安心できると思いましたが、何日も経っていません。掲示板に再びハッカーの警告が出てきました。3.侵入原理:もちろん簡単には言えません。資料を調べた結果、元の脆弱性はSQLの致命的な「シングルクォーテーションマーク注入」であることが分かりました。侵入の原理は以下の通りです。ウェブサイトのバックグランド管理登録ページのユーザパスワード認証時に、ユーザーが「UserID」入力ボックスに「Everybody」を入力し、パスワードボックスに「anything'or 1='1」を入力すると、クエリのSQL文が変わります。「1='1'」は常に成立している条件なので、「真」に戻ると判断し、Passwordの制限は虚構となり、ユーザーのパスワードがAnythingであろうとなかろうと、彼はEverybodyとしてリモートに登録し、バックグラウンド管理権を取得し、掲示板に任意の情報を投稿することができます。4.解決方法:replace関数で単引用符を遮蔽する。select from user where username='&replace("UserID")'、'、''、'&and password='&replace(")&request.form")&再度侵入されて初めて侵入された経験がありますが、数週間後もずっと心が落ち着かなくなりました。1.侵入現象:ある日、ホームページのファイルとデータベース部分のデータが削除されていることが突然発見されました。侵入の痕跡から同じハッカーが作ったものです。2.問題を処理する過程:まずシステムログ、SQLのログを見て、価値を発見した手がかりがなく、X-Scan、木馬克星と瑞星のアンチウイルスソフトが持参したシステム・ホールスキャンツールを使ってスキャンして、システムに深刻なセキュリティ・ホールがなく、問題の検索は苦境に陥っています。幸い、ウェブサイトには完全なバックアップデータがあります。最後に、まずウェブサイトの正常な運行を回復するしかありません。巧は一週間後に一回バックグラウンドでファイルをアップロードする過程で、cmd.asp、mun.aspと1.batの三つのファイルをアップロードしたことがあることを発見しました。時間は最初の侵入期間です。しかし、マシンのハードディスクでは、この3つのファイルを見つけることができませんでした。これはトロイの木馬プログラムです。ハッキングが完了した後、自分で戦場を掃除しましたが、ウェブサイトの記録に手がかりを残しました。さもなければ、管理人は分かりません。3.侵入原理:cmd.asp、mun.aspはトロイの木馬プログラムで、大量の資料を見て、この種類の木馬はASP木馬で、有名な海陽の先端ASP木馬に属しています。このような木馬はウェブサイトの仮想ディレクトリにコピーされたら、リモート端末はIEブラウザでASPファイルを開けば、ウェブインターフェースでこのコンピュータの操作を簡単にコントロールできます。私はインターネットでASP木馬をダウンロードしました。シミュレーションテストをしました。機能が非常に強くて、リモートファイルのダウンロード、削除、ユーザー追加、ファイルの修正、プログラムのリモート実行などの操作ができます。1.batファイルはバッチファイルで、内容は必要に応じてプログラム実行コマンドのセットを書き込み、リモートコンピュータで自動実行を実行します。明らかに、この木馬はハッカーが初めて侵入した時に置いたものです。一旦ネット管理員が彼の要求に従わないと、簡単に再度攻撃ができます。4.解決方法:依然として深い木馬が隠れていることを防止するために、万全を期してWindows 2000システムを再インストールし、フルセットのユーザー名とパスワードを変更しました。第3回侵入された分析1.侵入現象:2004年10月、ウェブサイトが再度侵入された。この日、画像のニュース欄で突然、画像のニュースが去年の古い内容に取って代わられているのを発見しました。クライアントがこのニュース画像をクリックした時、瑞星アンチウイルス監視システムがウイルスを発見しました。明らかにウェブサイトが侵入されてウイルスを持っている画像を植え付けられました。ウイルスはC:\Windows\Temporary Internet Filesディレクトリに埋め込まれています。これは悪質なハッカーの侵入事件です。2.問題を処理する過程:前回の二回の侵入の教訓があり、常にシステムのセキュリティ・ホールに関する情報を理解する習慣を身につけ、定期的にシステムのUPDATEを行うので、システム・ホールを利用して侵入する可能性はあまりない。これはハッカーがウェブサイトのバックグラウンド管理機能を利用して写真のアップロードを実現するということです。これは合法的なユーザーパスワードが必要です。私が設定したユーザー名とパスワードは簡単に解読されません。つまり、ハッカーはある特定の方法でSQLデータベーステーブルに置いてあるバックグラウンド管理ユーザー名とパスワードを取得しました。この考えがあって、インターネットで関連資料をたくさん読みましたが、今回受けた攻撃を「SQL注入式侵入」としてロックしました。3.侵入原理:SQL注入の原理は、クライアントが正常なWWポートから特殊コードを提出し、戻りのエラーメッセージを利用して、プログラムとサーバの情報を収集し、入手したい資料を取得することである。4.解決方法:ASPプログラムでデータベースフォームの内容を抽出する「select*from」文の前にSQLエラー情報を閉じる表示文「on error reume next」を追加します。id="&request.QueryString("xw_"id'),conn,1,3