记某站被搜索引擎入侵

By | 2012/06/08

几日前分析了一网站丢失数据的问题,结果发现竟然是被搜索引擎入侵了,记录下这有趣的过程,更提醒web开发新手,一定要注意网站权限判断的流程,不要留死角。事情的经过是这样:

同事告诉我有一个asp企业站经常丢分类列表的数据,重新上传原网站后过一段时间,数据还是会丢。一听是asp的,结合这种表现基本确定被入侵了。为了速战速决,直接使用对比工具对线上站点和本地备份对比,直接查找可能被修改文件。结果出乎意料,竟然没有文件被改动,虽说采用的fck也有上传漏洞,但是网站并没有被上传网马之类的工具。

asp的网站,一般就是fck有上传漏洞或者是存在注入被入侵,而且伴随着的一般都会有网马的存在。但是网站后台目录做了修改避免被猜出,所以fck编辑器的位置也不容易找到。网站本身既然没有一点痕迹,那就直接分析日志。

首先,查看数据库证明确实因为数据库的数据被删除导致的分类丢失,因此登录后台查看分类的管理功能,发现删除分类页面url类似:

/admin_sfdas/productmanageen.asp?Action=Del&id=66

因此直接在网站日志中搜索”Action=Del”,发现以下日志:

#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2012-04-26 17:16:26 W3SVC176210711 19.48.37.85 GET /admin_sfdas/productmanage.asp Action=Del&id=65 80 – 124.115.0.139 Sosospider+(+http://help.soso.com/webspider.htm) 302 0 0
2012-04-26 17:16:26 W3SVC176210711 19.48.37.85 GET /admin_sfdas/ProductManage.asp – 80 – 124.115.0.139 Sosospider+(+http://help.soso.com/webspider.htm) 200 0 0

这就是入侵痕迹啊,怎么访问源是soso的蜘蛛啊?难道这么小的企业站也有高手惦记?这年头高手用伪造搜索引擎来避免被查到?直接google下源ip,发现也确实是soso的。

在此至少知道了分类丢失原因,就是通过后台的删除功能删除的。那他是怎么找到后台的(文件夹名不是那么好猜测)?而又是怎么登录的呢?继续接着前面的日志往前分析,通过日志慢慢找到了原因:

原来前台页面上,有个地方调用了后台的客户留言功能,所以后台隐藏的再好,就这么简单的被暴露了。只是暴露了后台路径也没事啊,毕竟还有权限的判断。可问题是权限判断防浏览器(人)不防蜘蛛啊?为啥这么说呢,这就是开发人员不注意导致的一个问题了,一般我们会写一个权限的判断函数,如果满足就继续执行,如果不满足就跳转到登陆页。思路没错,错在很多人在跳转到登录页时使用的是html或js的跳转脚本,而没有写页面停止执行的函数,从而导致下面需要权限的代码还是会执行的。所以蜘蛛通过客户留言功能提交了留言(现在蜘蛛很聪明,可以提交简单的数据从而分析隐藏的页面,bbs蜘蛛也会自动注册哦),而提交留言后会进入列表页面,此时浏览器会提示无权限并跳转到登陆页,可蜘蛛就通过这个页面获取了后台其他页面连接,他就顺着这些链接最后爬到了分类的管理页面,然后就顺其自然的爬行了删除分类的链接,完成了一次搜索引擎的入侵。

好吧,就这么不知不觉的被搜索引擎入侵了。其实这样的问题瑞星也出现过,比如现在这个网站也存在相同的问题,这里留个连接让蜘蛛趴趴,看看能不能出现好玩的事情。

ps:看日志确实发现有人批量入侵,现在很多出售整站的,就是这样得到整站资源的。

2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /kxsuweb.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /web.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /web.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /svzdyouxi.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /youxi.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /youxi.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /lmaimanhua.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /manhua.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /manhua.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /qzsymh.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:08 W3SVC176210711 1.1.1.1 GET /mh.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /mh.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /nzypgame.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /game.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /game.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /ehokweb.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /web.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /web.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /lfuewebroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /webroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /webroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:09 W3SVC176210711 1.1.1.1 GET /ftcpwebroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /webroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /webroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /wnhb网站备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /网站备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /网站备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /fmnd备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /备份.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /mqxedodo.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:10 W3SVC176210711 1.1.1.1 GET /dodo.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /dodo.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /tuuidodo.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /dodo.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /dodo.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /mlwswww.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /www.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /www.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /mkeiwww.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /www.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /www.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:11 W3SVC176210711 1.1.1.1 GET /wsvywwwroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /wwwroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /wwwroot.rar – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /ravfwwwroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /wwwroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /wwwroot.zip – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /ciokftp.txt – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /ftp.txt – 80 – 122.224.4.18 Mozilla/4.0 404 0 64
2012-04-26 08:24:14 W3SVC176210711 1.1.1.1 GET /ftp.txt – 80 – 122.224.4.18 Mozilla/4.0 404 0 64

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据