被入侵之后

被入侵之后

兄弟们不要入侵我网站

 

http://www.d0755.com

这是我网站

 

最近有人在我网搞SQL注入，请问版主，SQL注入，是怎么把文件传上我服务器空间，

请帮我解决下，我最近在我空间发现的SQLTXT ，不知道他们是怎么上传的。

 

点击浏览该文件 http://dvd.3800cc.com/viewFile.asp?BoardID=9&ID=7870
点击浏览该文件 http://dvd.3800cc.com/viewFile.asp?BoardID=9&ID=7871
第一步当然是查看日志纪录啦，由于是在论坛的回复，根据提供的情景是被注入啦
下边是偶的回复..

当前的办法:

对文件目录进行严格的权限控制(假设你的是ntfs格式,fat32的建议转换过来),给everyone以读取权限,只给管理员和system以完全控制权限,这样做可能使木些需要写的操作不能完成,这时需要这些文件或文件夹的权限作些修改,最好在修改前作测试.对上传目录只保留everyone组的读取和写入权限,其他用户一律删掉.这样可以保证任何人在这个目录不能执行程序.

再就是你的数据库权限,一般要select就够啦,其他的权限可以关啦,如果有多个数据库建议设独立的数据库用户并做权限设置.对于用户建表和删表也要做一定的设置,

这样堵住啦再次被"入侵"的可能,下边就清除已经遇到的入侵吧

按你说的,站是被注入啦,你的站是asp+html的 那就找asp的马吧,这个我帮不了你,你可以按照修改时间和文件长度搜搜asp和aspx的文件,文件大小可以限定为15k左右,时间自己定,看你查看网站log大致确定被入侵时间,根据实际情况,设置合适的限定查找可疑文件,然后kill掉

上边只是解决拉上传的马,

下边从系统受害的角度分析清查

最好能弄个杀毒软件(能够找出间谍软件的,),略过

查看系统帐号,是不是有可疑的用户帐号存在,有的话利马禁掉然后kill,留意guest号啊,看权限有没提升

,再看看帐号有没被克隆,一般hkey locale_machine(注册表)下的sam sam是展不开的,克隆啦就能展开啦

,由克隆的话就kill吧，重新修改被克隆的账号的密码。ok

先到这，吃饭啦

后边的是给服务器加防，做好必要的防护措施，时间问题 不说啦，建议去查看服务器安全配置..