很久前就想写写关于文件上传+数据库备份入侵站点的文章,却一直没写。今天听了www.admin5.com 组织的服务器安全讲座后决定写写。
当黑客通过各种手段(SQL注入、暴破)拿到后台权限后,最希望看到的就是后台有文件上传功能和数据库备份功能了,因为这是整个入侵最重要的一步,也是最关键的一步!为什么呢?因为有了上传功能就可以将马传到服务器上,但马的类型通常是asp或php,而web程序一般是不允许这些类型文件上传的,所以我们先要将马的扩展名改为jpg或gif(图片大都可上传)再传到服务器,问题又来了,扩展名改为jpg或gif马就不能运行了!怎么办呢?这就要用到数据库备份的功能了,它可能将某一个文件备份成另一个文件,那么我们就可以利用它将扩展名为jpg或gif的马改回正常的asp或php,好了,马可以执行了,爱咱办咱办吧,呵呵。
针对上边的入侵过程下边我们说说怎么防范吧:
1.如果站点是使用网上载的程序一定要更改数据库文件名和默认的密码,能改后台登录路径的就都改下;
2.程序上对参数一定要进行过滤,防注入!对上传文件类型的判断不要只限于扩展名,而要对文件类型进行判断,一经发现格式不对立即终止上传或删除上传文件!
3.有自己的服务器的话,做好IIS权限设置,单独将上传文件夹的执行权限设置为无,这样即使马传上去改了扩展名也运行不了!
4.再不放心就找到备份数据库的相关文件,删除吧,呵呵!