下麵詳細介紹了關於網站伺服器被劫持的案例情況,希望能幫助大家解決類似的問題。千叮嚀萬囑咐,大家要學會在平時還沒出現問題的時候進行安全檢查,提早預防。 運用iis7網站監控,劫持檢測應用可以在問題還沒發生的時候,就把它扼殺在搖籃里,那麼出現了問題,也要學會去解決。 原理 伺服器端劫持也稱為後端劫持,其 ...
下麵詳細介紹了關於網站伺服器被劫持的案例情況,希望能幫助大家解決類似的問題。千叮嚀萬囑咐,大家要學會在平時還沒出現問題的時候進行安全檢查,提早預防。
運用iis7網站監控,劫持檢測應用可以在問題還沒發生的時候,就把它扼殺在搖籃里,那麼出現了問題,也要學會去解決。
原理
伺服器端劫持也稱為後端劫持,其是通過修改網站動態語言文件,如global.asax、global.asa、conn.asp、conn.php這種文件。這些文件是動態腳本每次載入時都會載入的配置文件,如訪問x.php時會載入conn.php。這樣的話,只需要修改這些全局的動態腳本文件(如global.asax),訪問所有的aspx文件時都會載入這個global.asax文件,可以達到全局劫持的效果。
表現與檢測
因為這種文件是在伺服器上執行的,因此不像前端劫持那樣可以分析載入的惡意JS腳本。其需要在伺服器上進行分析。一般檢測都是要檢測全局腳本文件,分析其是否被惡意修改。這種文件一般情況下不會經常修改,因此可以使用文件完整性進行檢測。初次配置好了以後生成其MD5或HASH值,並且周期性對比其MD5值是否變化。若變化則進行變化內容的分析與檢測。
案例
發現一政府網站上存在較多博彩類鏈接。但是對其源碼與抓包分析,都沒發現可疑JS腳本。這樣的話肯定是在伺服器端做劫持的。
於是遠程連接其伺服器,其網站使用aspx開發,找到其aspx全局載入的文件global.asax。分析其源碼,發現存在被修改,增加了爬蟲判斷條件,若為爬蟲訪問,則直接跳轉到相應的博彩網站。
針對伺服器端的劫持,找到相應的插入的代碼。直接將其刪除,或者使用備份的文件進行覆蓋。但是這樣並不能真正解決問題,一般情況下global.asax這種文件被修改,基本上說明黑客已經入侵到相應伺服器。因此需要做全面的應急響應,分析日誌、查殺webshll、系統層、應用層全面的安全檢查。找到黑客是如何入侵進來的並且修複相應的漏洞這樣才能真正解決此類問題。
