3. 入侵原理：cmd.asp、mun.asp是木马程序，经过翻阅大量资料显示这类木马为ASP木马，属于有名的海阳顶端ASP木马的一种，这类木马一旦被复制到网站的虚拟目录下，远端只要用IE浏览器打开该ASP文件，就可以在Web界面上轻松地控制该计算机执行任何操作。我在网上下载了一个ASP木马，模拟测试了一下，功能非常强大，能实现远程文件上传下载、删除、用户添加、文件修改和程序远程执行等操作。1.bat文件为批处理文件，内容根据需要写入一组程序执行命令在远程计算机上实现自动执行。显然，这个木马是在黑客第一次入侵时就放上去的，一旦网管员没按他的要求就范，就可以轻松地再次实施攻击。

4. 解决方法：为了防止仍有隐藏很深的木马，确保万无一失，我重新安装了Windows2000系统，并更换了全套用户名，密码。

第三次被入侵的分析

1. 入侵现象：2004年10月，网站再次遭到入侵。这天我在图片新闻栏目中突然发现一条图片新闻被去年一条旧的内容所替代，当客户端点击该新闻图片时，瑞星杀毒监控系统报警发现病毒，显然网站已被入侵并被植入带病毒的图片，这是一种以图片文件格式作为掩护的木马病毒，用户一旦点击该图片，病毒就被植入C:\Windows\Temporary Internet Files目录下，这是一起恶性黑客入侵事件，从其手法上看为另一黑客所为。

2. 处理问题的过程：有了前两次被入侵的教训，我养成经常了解有关系统安全漏洞信息的习惯，并定期进行系统UPDATE，因此利用系统漏洞入侵的可能性不大。而该置入的图片是放入SQL数据库内的，这说明黑客利用了网站后台管理功能实现图片上传，而这需要合法的用户密码才行。我设定的用户名和密码不容易被破解，那么只有一条途径，即黑客通过某种特定的方式拿到了放在SQL数据库表中的后台管理用户名和密码。有了这个思路，我在互联网上研读了大量相关资料，最后锁定本次受到的攻击为“SQL注入式入侵”。

3. 入侵原理：SQL注入的原理，是客户端从正常的WWW端口提交特殊的代码，利用返回的错误提示，收集程序及服务器的信息，从而获取想得到的资料。

4. 解决方法：在ASP程序提取数据库表单内容的“select * from”语句前增加一条关闭SQL出错信息的显示语句“on error resume next”，如

on error resume next

rs.Open "select  from xinwen where xw_id="&&request.QueryString ("xw_id"),conn,1,3

转载地址：http://netsecurity.51cto.com/art/200512/14832.htm