今天网站被监控中心预警说被 Sql 注入了。文件目录下有一个被注入的文件,可以上传任意文件,包括脚本文件,请求对应的路径就想做什么就能做什么了。现在不知道哪个口子出现了这个漏洞,改了部分代码和配置,不知道还有没有别的地方有遗漏。顺便问一下有没有可以测试的工具啥的。
注:环境: windows server 2008 + Sqlserver 2005 + IIS6.x
1
am241 2016-05-10 17:06:08 +08:00
如果用的成品系统,可以先去乌云搜索一下漏洞
如果是 GET 提交的注入点,可以看一下日志里有没有奇怪的记录 |
2
alex321 2016-05-10 17:15:35 +08:00
windows server 2008 怎么会上 iis6 。。。。。
|
3
longr923 2016-05-10 17:18:53 +08:00
过滤
|
4
UnisandK 2016-05-10 17:19:52 +08:00
|
9
hicdn 2016-05-10 17:45:46 +08:00
可以用加速乐 https://www.yunaq.com/
|
10
lalalafq OP 我需要一个能测试的工具或者方法。谢谢大家
|
11
publicID002 2016-05-10 17:50:18 +08:00 via Android
自己写的软件的话换参数绑定才是根本
查的话 sqlmap 自己扫下吧 |
12
pimin 2016-05-10 17:51:10 +08:00 via Android
sqlmap , appscan
|
13
a84945345 2016-05-10 17:54:30 +08:00
https://www.newdefend.com/牛盾云安全,你值得拥有··
还有高防 DNS ,什么都解决了·· |
14
a84945345 2016-05-10 17:54:54 +08:00
|
15
Slienc7 2016-05-10 18:08:05 +08:00
|
16
shiny 2016-05-10 18:14:07 +08:00
一个小技巧:
1 、记录创建这个文件时的 ip 2 、记录访问过这个文件的所有 ip 将该 ip 访问过的 URL 全部抓出来,往往能看到他攻击的手段 |
18
strwei 2016-05-10 19:22:31 +08:00
2L+1 ,而且楼主用的 2005 ,微软 2016 都出来了还在玩老古董
|
20
imlonghao 2016-05-10 20:33:37 +08:00
来 http://ce.wooyun.org/ 玩玩~
|
21
shiny 2016-05-10 22:55:04 +08:00 1
@ixinshang 「记录」的意思是记下比如 nginx 、 apache 、 IIS 日志里的 ip ,然后去搜索同 ip 访问过的 url 。这个无所谓是 Windows 还是 Linux 。
除了搜索日志里访问木马 url 的 ip ,还可以记下木马文件创建的时间,然后去看同时间段的 web 日志,然后就可以找到可疑 ip 。 把可疑 ip 访问的 URL 挨个列出来,就可以看到他的攻击手法,定位出漏洞位置。 |
22
just1 2016-05-10 23:07:11 +08:00 via Android
1.不要过度依赖 waf , waf 可以拦住技术差一点的,经验老道的有各种姿势绕过。
2.不要拼接 SQL 语句!不要拼接 SQL 语句!不要拼接 SQL 语句!重要的事情说三遍。建议把涉及数据库的全部重写。 3.升级相关服务的版本,老了各种洞很多。 4.估计被传了 shell ,检查一下文件。可以用服务器安全狗对文件进行扫描(遇到免杀就呵呵) 5.360 好像有个网站漏洞检查的,可以试试,但肯定不全 |
26
ptk555 2016-05-11 22:12:01 +08:00
安全狗大法好
|