鲜甜IT.Net

　　近来有几位同僚的网站被入侵，我帮忙检测了一下，大多是由于安全功夫没做足而让网络上的小混混们有了可乘之机。不过由此也引发了我又继续开始写鲜甜服安的动力。

　　在这个领域里，入侵和防范永远是相对应的，相辅相成的。它们的关系就像病毒与杀毒软件。但不同的是，入侵本身比病毒更灵活，更智能。而防范工作，也远比病毒要考虑得更多。同是网络安全，要做好防范，就必须通晓一定的黑客常识。照本宣科的做防范，是没有多大意义的。因为入侵的方式往往比安全防范的理论知识要丰富许多。

　　因此，今天想为大家常规的入侵思路，并且，如何防范。这同样属于常识级别。当然首先，你得有一个相对安全的基础。于是，请回顾一下，前面的几期鲜甜服安：点此回顾。

　　同样以前面设定的前提，Win2003 server+IIS+ASP网站环境。下面我们来设想一下这个环境被入侵的过程和思路。

　　假如，我是黑客，首先，面对这样的一个ASP站，我会去检测它有没有注入点。这个工作，用明小子的注入检测程序就能很好的完成。找到了注入点，再通过它猜解到数据库的管理员表，猜出管理员的帐号和密码。如果密码用MD5加密，拿到xmd5.com去反跑一下。如果密码不是很强大，一般都能跑出来。接着，猜网站后台登陆地址，用IE打开。输入猜出来的管理员帐号密码，登陆后台。

　　现在，对于网站的入侵过程已经完成了。拿到了后台管理员，整个网站就沦陷了。但对于黑客来说还没有完。拿到了后台，还只是控制了网站。接下来会尝试着入侵服务器系统。

　　通过后台的图片上传等功能，利用系统的FSO上传一个ASP脚本木马。有的后台带有数据库备份功能。那就更简单了。可以用它把伪装成图片文件的脚本木马直接改名运行。接着用木马获取的服务器的信息。如果服务器的权限比较大，直接调用CMD.exe建系统管理员帐号，然后找出远程桌面连接端口，打开远程桌面，登陆系统。现在，整个服务器都成了肉机了。接下来的事情，可以不用详细说了。想干什么就可以干什么了。

　　听上去很恐怖吧？也许你认为这种事情绝对不会发生在你身上。是吗？互联网是一个开放的环境，这种事情，离你也许并不远。你有细心检查过你的服务器安全配置么？检查几乎细致到每一个目录的权限么？你有去防范每一个脚本可能造成的漏洞么？如果没有，那么，你将有可能是黑客的战利品。

　　这样说来，对面黑客的入侵，果真防不胜防么？不尽然。魔高一尺道高一丈嘛。先按Jarry前面的系列文章做好基础安全防范措施，也就是这个。然后，咱们根据刚才的入侵思路，一步步的来。

　　①防止注入：注入往往是入侵的第一步，也是黑客撕开防线的一条主要道路。所以，我们先来了解一下注入：点击温习

　　防止注入其实也有许多方法。

　　可以使用SQL通用防注入系统的程序，比如这个：SQL通用防注入程序（点击下载），在需要防范注入的页面头部用来防止别人进行手动注入测试。

　　当然也可以尝试一些防注入的防火墙软件。比如龙盾。

　　机器永远聪明不过人。如果没有办法逃过黑客通过注入点对数据库的猜解，那我们就让他啥也猜不到。猜解通常是根据字典来的。那么，我们可以对数据库动刀。

　　1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255（其实也够了，如果还想做得再大点，可以选择备注型），密码的字段也进行相同设置。
　　2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符（最好大于100个字）。
　　3.把真正的管理员密码放在ID2后的任何一个位置（如放在ID549上）。

　　除了上面三条，你也可以在数据库里做“陷阱”。弄个假的管理员表。让他猜，让他试去吧。然后在IIS里针对网站后台目录开启日志，看看哪些IP在做猜解。

　　②密码策略要够复杂。绝对要大写+小写+符号+数字。别弱弱的以为，密码只要不是admin或admin888等ASP源码常用的密码就好。XMD5的字典数据都已经达到几十个G了。想想看这本字典里会有多少个密码组合？

　　③上传组件的安全性。曾经在某个肉站里，它的上传功能，可以直接上传.asp文件。后果真的很严重。大家应该都知道屏蔽不应该允许上传的文件类型。但有时面对强大的黑客时，真的事与愿违。黑客同样可以利用这样的FSO上传组件传个马上来。所以，首先你使用的上传组件对于文件类型的判断要够强。

　　还有一个比较有意思的站，上传组件限制了上传jpg,png,gif等类型的图片文件。但管理后台里有个“强大”的选项。可以让管理员指定上传什么类型的文件。好吧，加入ASP，然后成功的上传ASP马。

　　有时候，入侵者会把一个ASP木马，改名成xxx.jpg，然后通过上传组件传到服务器上，顺便拿个抓包软件，抓取系统返回的保存路径。虽然保存到服务器上还是jpg文件，但可以利用有的源码自带的很SB的“数据库备份”功能把JPG文件改成ASP。这样，马就可以被服务器上的IIS所执行了。

　　④对系统入侵的防范。很多时候，我们的服务器上挂着不少的网站。不我们可能一一去检查每个网站的脚本，是否有漏洞。虽然这是一个不小的隐患，但没大量的时间和精力，不可能解决。尤其是虚拟主机。所有的文件都是客户的资产，不好去改。那么，我们就要把隐患降低到最小程度。任何一个网站被拿到后台，就算被上了马，也决不能让它影响到系统和别的网站。在术语中，通过入侵一个站拿下同台服务器上的另一个站，被称为“跨站入侵”，被首先拿下的站并不是目标，而是一个裂口。

　　这一步其实在鲜甜服安系列前面的文章里都有讲到，也就是系统基本安全配置。尤其是２,３章，如果还不太了解，请再次复习一下吧。

　　⑤攻防博弈，站长是不是永远都是挨打的那一方呢？防范，永远是被动的。能不能主动出击，打击黑客呢？咱们其实可以想到很多办法，比如在系统的假后台挂马。常见的管理后台地址是：http://www.xxx.com/admin之类。那我们把真正的后台设置为一个很复杂的目录，比如http://www.xxx.com/ajfFFlaj445-9Fs之类的。然后把那个admin目录里挂上个木马或者病毒，等着黑客来尝试，然后中招。咱们也反打一回！

　　结束语

　　其实上文提到的入侵方式只是较为常见的一种。针对网站的脚本，ASP，PHP，还有ASPX都可能被注入。还有更多的入侵和攻击手段及对应的防范技巧，以后Jarry接着为大家介绍。还有，就是不要迷信“网络安全设备”。面对脚本入侵，硬件防火墙形同虚设。硬件工具在网络安全领域，的确是我们的得力助手。但当我们面对的不是暴力的数据包，还是智慧的人时，我们只能相信自己！

　　OK，下期见。如果您有什么想法或建议，请在本文后评论。也可以直接联系我。Blog首页上有我的联系方式。如果你喜欢爬墙，你也可以Follow我的Twitter，我的T是xjyzhenai。欢迎跟随。