一次遭遇入侵

1. 入侵现象：2004年春节，网站的公告栏上突然出现“此论坛有漏洞，请管理员修复”的内容，并被粘贴了一张图片。

2. 处理问题的过程：首先想到的是以为存在某个Windows 2000漏洞，于是就先删除这条内容，然后对Windows 2000服务器重新安装升级补丁，完成更严格的安全设置并更换了全套密码。自以为可以高枕无忧了，不料没过几天，公告板上再次出现黑客的警告“你的漏洞依然存在，我可以告诉你问题所在，但作为回报我要你网站的源代码”。

3. 入侵原理：我当然不会轻易就范，经过查阅资料最后发现原来漏洞是SQL致命的“单引号注入”。入侵原理如下：在网站后台管理登录页面用户密码认证时，如果用户在“UserID”输入框内输入“Everybody”，在密码框里输入“anything'' or 1=''1”，查询的SQL语句就变成了：Select  from user where username=''everyboby'' and password=''anything'' or 1=''1''。不难看出，由于“1=''1''”是一个始终成立的条件，判断返回为“真”，Password的限制形同虚设，不管用户的密码是不是Anything，他都可以以Everybody的身份远程登录，获得后台管理权，在公告栏发布任何信息。

4. 解决方法：用replace函数屏蔽单引号。

select  from user where username=''&&replace(request.form("UserID"),'',")&&'' and password='' &&replace(request.form

("Pass"),'',")&&

再次被入侵

有了第一次被入侵的经历，事后几周我心里一直忐忑不安，但不幸还是发生了。

1. 入侵现象：一天，突然发现网站的主页文件和数据库部分数据被删除，从入侵的痕迹分析是同一黑客所为。

2. 处理问题的过程：首先查看系统日志、SQL的日志，没有发现价值的线索，采用X-Scan、木马克星和瑞星杀毒软件自带的系统漏洞扫描工具进行扫描，系统没有严重的安全漏洞，于是问题的查找陷入了困境，幸好网站有完整的备份数据，最后只能先恢复网站的正常运行。巧的是在一周后一次通过后台管理上载文件的过程中，发现有人上载过cmd.asp、mun.asp和1.bat三个文件的操作痕迹，时间为第一次入侵期间。但机器硬盘上已无法查找到这三个文件，这是木马程序，显然这黑客比较专业，在入侵完成后自己清理了战场，但还是在网站上载记录中留下了线索，否则管理员根本无从知晓。