关于网站安全性的问题

   由于问题比较紧迫，暂时在首页上放会儿，请dudu见谅。
   最近网站频繁出现病毒，也就是在首页上会被插入一段恶意的js代码或iframe框架，在状态栏上出现一些莫名其妙的链接，该网站在允许用户上传图片，这些扩展名等都已经控制。我查了代码，也没有发现哪里有异常情况。
     情急之下，只好求救于园子里的各位大侠了。还有哪些情况，可以导致页面被修改？

posted on 2007-01-29 10:12 李.net 阅读(3118) 评论(35) 编辑收藏所属分类: C# & ASP.NET

#1楼  回复 引用 查看

主要是这个样子的，据某位大牛告诉我，限制扩展名其实用一个很复杂的编码的文件名的文件就能骗过去，所以不要相信postedfile里头的信息，还是通过分析post的内容来判断的比较保险

2007-01-29 10:23 | 亚历山大同志

iis的权限开大了，把网站的执行和写入权限去了，只留读和访问记录就可以了
这是最常见的挂马
建议如下：
1、如果你服务器不是ntfs或者服务器ntfs权限设置不当的话建议你立刻查毒，没准会被放后门
2、检查所有网站的目录，看是否有web的后门，一般都会有的

最后不要着急，这个很简单，一般都是放木马盗号的，不会对你服务器有什么破坏
具体这个漏洞的解释和利用看
http://www.google.com/search?hl=zh-CN&newwindow=1&q=IIS%E5%8F%AF%E5%86%99%E6%9D%83%E9%99%90%E5%88%A9%E7%94%A8&btnG=Google+%E6%90%9C%E7%B4%A2&lr=

如果打不开直接搜 IIS可写权限利用有工具可下，扫一下自己就知道了
有什么需要帮忙的可以和我联系，如果能帮我会尽量帮你

2007-01-29 10:30 | ZergTant

#3楼  回复 引用

去掉取得得扩展名，
自己再加上允许的扩展名

2007-01-29 10:31 | 虫子 [未注册用户]

#4楼  回复 引用

不知可否？

2007-01-29 10:31 | 虫子 [未注册用户]

#5楼  回复 引用

可能是你经过的路由器被感染了, JavaEye碰到过这种情况. 最好跟你的ISP联系一下.

2007-01-29 10:31 | Phoenix [未注册用户]

#6楼 [楼主] 回复 引用 查看

@ZergTant
谢谢，不过由于服务器是租用的，跟那边交涉说肯定是
网站程序本身的问题

2007-01-29 10:35 | 李.net

#7楼 [楼主] 回复 引用 查看

@虫子
好象不行，这个已经做了

2007-01-29 10:36 | 李.net

#8楼 [楼主] 回复 引用 查看

@亚历山大同志
微软的那个上传控件还会有这么大的漏洞吗？

2007-01-29 10:36 | 李.net

#9楼  回复 引用 查看

"去掉取得得扩展名，
自己再加上允许的扩展名"
这个不错，自己构建，

2007-01-29 10:36 | 亚历山大同志

#10楼 [楼主] 回复 引用 查看

@Phoenix
现在的问题是，网站是租用服务器空间的，提供商说，就这个网站中病毒，其它的都很正常。真是郁闷中

2007-01-29 10:37 | 李.net

#11楼  回复 引用 查看

@李.net
那个控件不过是把常用的功能封装了一下，其实是能够被欺骗的

2007-01-29 10:37 | 亚历山大同志

#12楼  回复 引用

@李.net
你用我说的google连接下个工具扫下就知道了，到底是谁的毛病
如果是自己的就解决，如果是他们的你自己再怎么找也没用的
如果是租用的可能性就更大了，国内的虚拟主机没几个安全的，很多人都不会配置，权限开得很大

2007-01-29 10:42 | zerant [未注册用户]

#13楼  回复 引用 查看

用FTP把网站的下载下来看看,看看你的程序文件是不是被修改了,如果是被修改了, 查一下你的上传的文件,加入程序检查是不是本页(包括Url)postback回来的
再看看有没有新的文件传上来,这个简单, 可以按修改时间看,最近修改的文件都看看有没有异常.
如果你的程序没有被修改过,而打开时又会出现你说所有情况,那估就是Phoenix所有情况了.

2007-01-29 10:52 | Allen Zhang

#14楼  回复 引用

把网地给出来!

2007-01-29 11:09 | ipqn [未注册用户]

#15楼 [楼主] 回复 引用 查看

@ipqn
www.booklove.net

2007-01-29 11:11 | 李.net

#16楼  回复 引用

小弟也受这个困扰已久啊，希望有经验的兄弟，在此做个总结

2007-01-29 11:13 | robin [未注册用户]

#17楼 [楼主] 回复 引用 查看

@zerant
我已经下载，并扫描，那个网站
www.booklove.net ,并没有写权限。
这个扫描的话，这样准确不准确的？只能输入IP地址。这样解析过去的话，还能正确判断吗？

2007-01-29 11:13 | 李.net

#18楼 [楼主] 回复 引用 查看

@robin
呵，还有同道中人啊
我是烦了好久了，就是解决不了。

2007-01-29 11:13 | 李.net

#19楼  回复 引用 查看

我记得能扫的，等我看看你，有什么情况给你留言

2007-01-29 13:28 | ZergTant

#20楼 [楼主] 回复 引用 查看

@ZergTant
谢谢了

2007-01-29 13:29 | 李.net

#21楼  回复 引用 查看

？网站被黑了吗？

2007-01-29 15:30 | JiKun.Xiong

#22楼  回复 引用 查看

应该是服务器中招了。
我以前遇到过一次，服务器上一定要仔细的检查一下。
如果是租的服务器，很简单，把从服务器上下载回来的完整内容放到另一个服务器上一试就知道了。
如果你的站点文件没有被修改，而访问时，不是多了iframe就是嵌入了JS，那几乎可以肯定是服务器中招了。(IIS被修改)
如果文件已经被修改了，而服务器方双说其它网站没问题，那就可能只是你自己的站点有问题，把文件改回来再试试，然后再找漏洞。
希望有用。

2007-01-29 15:30 | Wu.Country@侠缘

#23楼 [楼主] 回复 引用 查看

@JiKun.Xiong
呵呵，也不能够说被黑吧
就是一些问题比较麻烦

2007-01-29 16:23 | 李.net

#24楼 [楼主] 回复 引用 查看

@Wu.Country@侠缘
呵，谢谢

2007-01-29 16:23 | 李.net

#25楼  回复 引用 查看

楼主，

前几天我们的网站也遇到了类似的问题。具体是这样的，后门程序在IIS中的ISAPI筛选器中添加了一个筛选器，当页面通过IIS解析后发送到浏览器的时候添加了一段JS代码。

解决方法：1、从IIS中删除筛选器 2、查找筛选器引用的文件 3、使用瑞星杀毒软件查毒

2007-01-30 10:19 | 海纳百川

#26楼 [楼主] 回复 引用 查看

@海纳百川
请问一下，你的意思是说通过IIS解析后才会添加一段JS代码吗？
那源文件里实际上是没有这个JS代码？？

2007-01-30 10:25 | 李.net

#27楼  回复 引用 查看

To 李.net

源文件中是没有js代码的。
请来坐客http://www.cnblogs.com/david-weihw

2007-01-30 10:37 | 海纳百川

#28楼 [楼主] 回复 引用 查看

@海纳百川
可我这个问题是源文件中被人嵌入了JS代码了。

2007-01-30 10:38 | 李.net

#29楼  回复 引用

前段时间，我的网站也遇到类似情况。我的解决办法是：1、把FTP服务器重新安装，在安装过程中不按默认的路径(自选)、密码用数字+字母+特殊符号组合。IIS的权限、网站所在包的安全权限进行设置。另外查一下Administrators组成员是否有意外添加了成员。挂了一段时间没有受到攻击了。

2007-01-30 10:46 | 金戈铁马 [未注册用户]

#30楼 [楼主] 回复 引用 查看

再一次非常感谢大家的建议。
我看了一下，大多数是从服务器去考虑的。
在代码方面，有哪些方面是要特别关注的呢？

2007-01-30 11:14 | 李.net

#31楼  回复 引用 查看

我的论坛也被搞了链接,那么小的地方也被攻击.
看来网上无聊人真多.

2007-01-30 12:48 | 航天奇侠

#32楼  回复 引用 查看

这个情况我上次也碰到过。
我租的三个网站（全都ASP）。有一天，朋友告诉我，网站也莫明其妙的弹出窗口。
然后，我去查，果然是这样。发觉页面开端或结尾全都被插上了莫名的<iframe>。
之后，去租用服务商那里交涉，他们把权限提高后，就再也没发现这种问题。
以后是空间给用户的权限太大了。
我另一个朋友，给我做过一个演示。上传一个aspx文件。那么，这台服务器就可以随便控制里面的所有文件。也就是说，整台服务器上，只要有一个网站上传不限扩展名，就会危及到所有在这台的网站。
这个只能靠网管用权限在设置。