迅速恢復(fù)網(wǎng)站被黑的的方法

2009年3月17日上午， 冠群金辰公司的工程師小李剛到公司， 就接到了用戶的電話：“怎么回事?我們的網(wǎng)站從今天早上開始就不能正常訪問， 是不是被黑了?”網(wǎng)站出了問題的用戶顯得格外著急。

　　小李打開用戶的網(wǎng)站主頁， 發(fā)現(xiàn)果然無法訪問， 頁面一片空白， 只是顯示出如圖1的一行英文， 果然是受到了黑客攻擊： 

　　找到問題

　　小李當(dāng)即決定趕到用戶現(xiàn)場解決問題， 確定網(wǎng)站受到了何種攻擊。 趕到現(xiàn)場之后， 經(jīng)過簡單的測試， 他判斷用戶主頁是被進(jìn)行了SQL注入攻擊， 因此不能正常訪問。

　　什么叫做SQL注入?其實(shí)就是一種利用一些網(wǎng)站程序員在編寫代碼的時(shí)候， 沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷從而使應(yīng)用程序存在的安全隱患， 提交一段數(shù)據(jù)庫查詢代碼， 從而獲得某些非公開數(shù)據(jù)的黑客攻擊行為。 也就是所謂的SQL Injection。

　　于是小李利用專業(yè)的工具， 對(duì)用戶的網(wǎng)站進(jìn)行了風(fēng)險(xiǎn)評(píng)估。 結(jié)果不出所料， 用戶的網(wǎng)站存在著不少可以被黑客們利用的漏洞。

　　首先小李使用專業(yè)的測試工具， 對(duì)網(wǎng)站進(jìn)行了測試評(píng)估， 評(píng)估結(jié)果如圖：

　　從工具測試來看， 此網(wǎng)站共有6個(gè)SQL注入點(diǎn)， 48個(gè) 跨點(diǎn)攻擊點(diǎn)!因此這個(gè)網(wǎng)站存在著很大的安全風(fēng)險(xiǎn)， 需要立即對(duì)代碼的安全加固進(jìn)行防御， 以保證網(wǎng)站的安全。

　　解決問題

　　隨后， 冠群金辰工程師對(duì)用戶網(wǎng)站代碼進(jìn)行了人工分析， 針對(duì)SQL的注入點(diǎn)進(jìn)行查找， 通過對(duì)數(shù)據(jù)庫進(jìn)行分析， 發(fā)現(xiàn)早在2月份， 用戶的數(shù)據(jù)庫已經(jīng)被進(jìn)行了SQL注入， 以下是通過分析找到的多個(gè)表的注入點(diǎn)， 如圖：

　　小李很快就將通過SQL注入而被破壞的數(shù)據(jù)進(jìn)行了恢復(fù)， 并且針對(duì)檢測出來的漏洞， 對(duì)用戶網(wǎng)站進(jìn)行了全面的安全加固， 使網(wǎng)站得以正常訪問。 而整個(gè)過程， 從小李來到客戶現(xiàn)場之后到最終解決問題， 只不過用了區(qū)區(qū)1小時(shí)!

　　小李告訴用戶， SQL注入是從正常的WWW端口訪問， 而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別， 所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)， 如果管理員沒查看IIS日志的習(xí)慣， 可能被入侵很長時(shí)間都不會(huì)發(fā)覺。 直到一段時(shí)間之后發(fā)現(xiàn)網(wǎng)頁不能訪問， 才會(huì)發(fā)現(xiàn)網(wǎng)站早已經(jīng)被侵入。 而在發(fā)現(xiàn)網(wǎng)站被進(jìn)行了SQL注入之后， 一定要對(duì)網(wǎng)站應(yīng)用程序進(jìn)行多方面的測試查找， 這樣才能找到注入點(diǎn)， 并對(duì)網(wǎng)站進(jìn)行全面加固。

　　想要避免網(wǎng)站受到SQL注入， 冠群金辰工程師有以下安全建議：

　　1. 建議關(guān)閉或刪除不必要的交互式提交表單頁面， 因?yàn)樗麄兪呛诳瓦M(jìn)行SQL注入的途徑， 關(guān)閉這些交互式頁面可有效的阻止某些XSS跨站腳本的攻擊與注入。 而最有效的防治注入及跨站腳本攻擊的方法， 是在代碼層就屏蔽掉不安全的script等危險(xiǎn)字符。

　　2. 對(duì)漏洞注入點(diǎn)相關(guān)代碼進(jìn)行代碼及SQL注入關(guān)鍵字的過濾， 以規(guī)范代碼安全性。

　　3. 不要在服務(wù)器端放置備份的文件以免受到感染， 或備份的文件含有漏洞， 造成切入點(diǎn)， 比如index1.asp index2.asp products1.asp等。