可用分押宝游戏火热进行中...	专题改版：Java Web 专题

网站一天被黑多次，请高手帮忙

楼主fengye912（）2006-06-03 16:33:29 在 Web 开发 / ASP 提问

偶有一网站。一天被人黑了很多次。而且每天如此。我把上传类全删了。在线编辑器也删了。可是他还能黑（数据库内容被改）。而且没有找到木马文件。后台的用户名和密码。FTP的用户名和密码都改过了还是没用。请教高手，是怎么回事？问题点数：100、回复次数：116Top

1 楼cpio（备注）回复于 2006-06-03 16:35:30 得分 0

没用别人的程序的话

就是系统的问题了

系统肯定被攻破了Top

2 楼fengye912（）回复于 2006-06-03 16:37:52 得分 0

没有用别人的程序啊。自己写的。他是怎么做到的啊？Top

3 楼fengye912（）回复于 2006-06-03 16:38:50 得分 0

用的ASP木马吗？Top

4 楼fengye912（）回复于 2006-06-03 16:42:12 得分 0

高手帮忙啊Top

5 楼xmq120（xmq120）回复于 2006-06-03 16:47:12 得分 0

你网站地址呢

Top

6 楼fengye912（）回复于 2006-06-03 16:53:01 得分 0

www.heecn.com
他每次黑的时候都把我的新闻和案例去掉了Top

7 楼netcomhui（豆乐儿）回复于 2006-06-03 17:10:35 得分 0

是不是别人也知道后台登陆密码啊?Top

8 楼fengye912（）回复于 2006-06-03 17:11:02 得分 0

后台的密码改过了啊Top

9 楼fengye912（）回复于 2006-06-03 17:27:59 得分 0

各路高手请帮忙了。小弟感激不尽啊Top

10 楼grakey（透明的深蓝）回复于 2006-06-03 17:37:45 得分 0

过滤不安全字符，禁止站外提交，如果是access数据库的话，给数据库设置密码，并修改数据库路径及名称包含%$@等不规则字符20位以上，并加密数据库链接文件。Top

11 楼fengye912（）回复于 2006-06-03 17:41:50 得分 0

晕，没用啊Top

12 楼cpio（备注）回复于 2006-06-03 17:43:30 得分 0

你们的服务器是你们自己的吗？
Top

13 楼fengye912（）回复于 2006-06-03 17:53:54 得分 0

不是的，是万网的Top

14 楼FEB15（张郎）回复于 2006-06-03 18:03:45 得分 10

详细检查代码，如果代码没问题就肯定服务器已经被挂马了。

简单点，如果黑客进去后，黑客会先看WEB代码，看代码能体现作者的级别，如果是菜鸟级黑客可能会给他加一段代码，比如修改密码的时候直接Copy给黑客一份或者定期Copy给黑客。

如果目标并不是WEB

一般是攻服务器其它漏洞，不方便的话一般攻破网站后，如果权限够的话一定会挂WEB类木马，通过WEB类木马再给服务器挂个马。然后就是僵尸跳，等着收信息。Top

15 楼FEB15（张郎）回复于 2006-06-03 18:05:20 得分 0

罪魁祸首是上传文件和服务器权限设置不够，还有不该开的端口全部都像小姐一样分开大腿...Top

16 楼heroooooo（学习.NET）回复于 2006-06-03 18:29:10 得分 0

不是的，是万网的
___________________
初步估计是你的代码有问题的.万网现在做得还不错的..Top

17 楼yongfa365（http://www.yongfa365.com）回复于 2006-06-03 19:56:02 得分 10

'SQL防入库函数
Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=request(ParaName)
if ParaValue = "" then
SafeRequest = ""
exit function
end if

'过虑非法字符
ParaValue = replace(ParaValue,"'","")
ParaValue = replace(ParaValue,"select ","")
ParaValue = replace(ParaValue,"insert ","")
ParaValue = replace(ParaValue,"delete ","")
ParaValue = replace(ParaValue,"count(","")
ParaValue = replace(ParaValue,"drop table ","")
ParaValue = replace(ParaValue,"update ","")
ParaValue = replace(ParaValue,"truncate ","")
ParaValue = replace(ParaValue,"asc(","")
ParaValue = replace(ParaValue,"mid(","")
ParaValue = replace(ParaValue,"char(","")
ParaValue = replace(ParaValue,"xp_cmdshell","")
ParaValue = replace(ParaValue,"exec master","")
ParaValue = replace(ParaValue,"net localgroup administrators","")
ParaValue = replace(ParaValue," and ","")
ParaValue = replace(ParaValue,"net user","")
ParaValue = replace(ParaValue," or ","")
SafeRequest=ParaValue

if IsNumeric(ParaValue) = True then
SafeRequest=ParaValue
exit Function
elseIf Instr(LCase(ParaValue),"select ") > 0 or Instr(LCase(ParaValue),"insert ") > 0 or Instr(LCase(ParaValue),"delete from") > 0 or Instr(LCase(ParaValue),"count(") > 0 or Instr(LCase(ParaValue),"drop table") > 0 or Instr(LCase(ParaValue),"update ") > 0 or Instr(LCase(ParaValue),"truncate ") > 0 or Instr(LCase(ParaValue),"asc(") > 0 or Instr(LCase(ParaValue),"mid(") > 0 or Instr(LCase(ParaValue),"char(") > 0 or Instr(LCase(ParaValue),"xp_cmdshell") > 0 or Instr(LCase(ParaValue),"exec master") > 0 or Instr(LCase(ParaValue),"net localgroup administrators") > 0 or Instr(LCase(ParaValue)," and ") > 0 or Instr(LCase(ParaValue),"net user") > 0 or Instr(LCase(ParaValue)," or ") > 0 then
Response.Write "<script language='javascript'>"
Response.Write "alert('可疑的SQL注入请求!');" '发现SQL注入攻击提示信息
Response.Write "location.href='http://www.winiis.com/';" '发现SQL注入攻击转跳网址
Response.Write "<script>"
Response.end
else
SafeRequest=ParaValue
End If
End functionTop

18 楼keenx（老刀）回复于 2006-06-03 22:58:05 得分 0

估计可能是同台服务器的跨站攻击。
所以说就算自己的站点全部是静态页面，也一样会被人黑。
最讨厌那些所谓的“黑客”了，自己一点技术含量都没有，就用别人写好的注入工具去乱改别人的网站，一点意思都没有，只会搞破坏。

万网虽然大，但其实就算是万网的空间也有一些漏洞。
曾经有人在虚拟主机上用脚本，然后取得了该服务器上的所有FTP用户名和密码。Top

19 楼computerclass（leovo）回复于 2006-06-04 08:04:06 得分 0

upTop

20 楼mrshelly（Shelly）回复于 2006-06-04 09:09:52 得分 0

呵呵。这类问题都解决不了。你还在网站上说做系统开发？？？？？？
Top

21 楼aner（名花虽有主，我来松松土!）回复于 2006-06-04 09:28:34 得分 10

基本的服务器安全设置

安装补丁

安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。

安装杀毒软件

虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。
不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

设置端口保护和防火墙、删除默认共享

都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以擞出来看看，晚些时候我或者会复制一些到我的网站上。

权限设置

这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。

权限设置的原理

WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。

IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

权限设置的思路

要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。

设置方法

先创建一个用户组，以后所有的站点的用户都建在这个組里，然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。

因为比较多，所以很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和組，不知道怎么设置文件夹权限，不知道IIS站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来，具体的方法其实自己也能摸索出来的，我就是这样。当然，如果我有空，我会写我的具体设置方法，很傲能还会配上图片。

改名或卸载不安全组件

最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll

然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。

改名不安全组件

需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_xxxx

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码（两个文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="Shell.Application_xxxx"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="Shell.Application_xxxx"

[HKEY_CLASSES_ROOTShell.Application_ajiang]
@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]
@="Shell.Application_xxxx"

你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

防止列出用户组和系统进程

我们应当隐藏起来，方法是：

【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

防止Serv-U权限提升

其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l @ $ak#.lk;0 @ P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防范

一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。

作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

做好防sql脚本注入

设置好SQL用户权限,千万记得不要用SA用户.
Top

22 楼zhan075（红心蓝岛）回复于 2006-06-04 13:01:18 得分 10

那你试一下把FSO组件静止~!如果是代码的问题的话`那FSO是最大的嫌疑``要是服务器有问题`那就很难做了``不过现在万网的技术还不错``应该不会有很大的问题`~!~```Top

23 楼love01px（JAVA ＣＵＰ）回复于 2006-06-04 13:39:56 得分 10

可能被SQL注入了
检查代码部分，过滤所有用户提交的数据(GET/POST)
重新检查，ASP木马

Top

24 楼youyu529（）回复于 2006-06-04 13:56:01 得分 0

可能是服务器被挂木马了Top

25 楼sntdk（）回复于 2006-06-04 14:09:32 得分 10

你去下载一个木马追捕者,然后传到你的空间里看看有没有存在ASP木马
再来就是你看看,你的一些ASP文件的修改日期,也有可能他在你的ASP页面里面加了一句话的木马,他可以通过另外的一个页面,连接到你的空间,然后上传ASP网页木马,等,
你去找找Top

26 楼bingdian37（冰点）回复于 2006-06-04 14:44:50 得分 0

看服务器日志,,寻找可以的访问记录Top

27 楼lzhblacker（小熊不小）回复于 2006-06-04 15:13:09 得分 0

mark
Top

28 楼sorrow_man（不会我就问,零下一度）回复于 2006-06-04 20:15:39 得分 0

学习
Top

29 楼coolbird88（小鸟来一只）回复于 2006-06-04 21:06:30 得分 0

你们设计水平不错呀，我想你们公司美工可以，技术差了点。。Top

30 楼soft_2008（冬天到了，春天还远吗？）回复于 2006-06-04 21:07:39 得分 0

先向服务商反映情况，再调出其系统访问的IP记录，与服务高协调捕捉些黑手，如果服务商不能做到保护用户的正当权益的话，要么是没有这个技术力量，要么是监守自盗，趁早换吧。不过，最好自己配置一个服务器。Top

31 楼coolbird88（小鸟来一只）回复于 2006-06-04 21:15:02 得分 0

随便浏览了一下你们的案例网站，很多案例都用同一个程序，而且后台就是admin，这些基本的安全措施都没有做好。Top

32 楼coolbird88（小鸟来一只）回复于 2006-06-04 21:16:36 得分 0

只要黑客能破坏的一个客户网站，那么n多客户网站都要挂拉。。。到时候你们就惨拉。。。Top

33 楼fffddd（假钞换贞操）回复于 2006-06-04 21:44:00 得分 0

晕。万网的空间你都敢用，活该。Top

34 楼wawowawoo（）回复于 2006-06-04 22:07:28 得分 0

帮顶Top

35 楼cnrk_net（疯子）回复于 2006-06-04 23:21:55 得分 10

有时候虽然你的文件没有任何问题
但是你的服务器或者你租用的空间的服务器安全性不好的话，别人放一个ASP木马在任何一个站点上，就能修改这台服务器上的所有文件，当然包括你的站了。(我以前租的空间就有这个问题，不过我没改过人家的网站。)
所以买空间还是找大服务商买。

楼上的楼上好像说万网的空间不好哦，我用着一直不错啊。
广告一下：我卖万网空间域名，有需要找我哦:)(服务期间提供免费技术支持)
QQ:25725854
MSN:huakaisiji@hotmail.com

Top

36 楼gudulyn（冰楠）回复于 2006-06-05 05:56:03 得分 0

upTop

37 楼gudulyn（冰楠）回复于 2006-06-05 05:56:19 得分 0

怀疑是广告？？？？？？？？？？？？？Top

38 楼net_lover（【孟子E章】）回复于 2006-06-05 08:04:12 得分 0

拨打 110Top

39 楼lymyx（明月）回复于 2006-06-05 08:20:21 得分 0

只是让改了数据库？楼主把后台管理的程序给删除，看一下，对方还能修改吗？
Top

40 楼hetoo（）回复于 2006-06-05 08:37:23 得分 0

怀疑是服务器的问题Top

41 楼dam520（）回复于 2006-06-05 09:57:59 得分 0

在服务器上做个“蜜罐（入侵检测系统）”，看看他是这么进入的，或者楼主分析一下系统日志Top

42 楼shuangren（候鸟）回复于 2006-06-05 10:07:11 得分 10

只删新闻和案例而不删其它的文件，说明只对数据库有操作权限，估计你的维护后台被破了。
建议：1、检测是否有sql注入漏洞；2、将管理员密码用md5加密。Top

43 楼gatey（吹过的海风）回复于 2006-06-05 10:23:41 得分 0

还是用自己的服务器比较好Top

44 楼scalewingzip（程是程序员的程，序是程序员的序，员是程序员的员）回复于 2006-06-05 10:39:48 得分 0

Microsoft VBScript 运行时错误错误 '800a000d'
类型不匹配: 'cint'

基本的安全也没做啊Top

45 楼heroooooo（学习.NET）回复于 2006-06-05 11:29:44 得分 0

Microsoft VBScript 运行时错误错误 '800a000d'
类型不匹配: 'cint'

基本的安全也没做啊

__________________________________________
不知道就不要乱说..Top

46 楼shuangren（候鸟）回复于 2006-06-05 11:52:49 得分 0

Microsoft VBScript 运行时错误错误 '800a000d'
类型不匹配: 'cint'

基本的安全也没做啊
----------------------------------------
这才说明是防注入的啊，呵呵Top

47 楼addwing（招人的外行都说要"精通",不长眼看下有几个真正精通的）回复于 2006-06-05 12:47:51 得分 0

dingTop

48 楼oldmoon（电子商务人，电子商务路）回复于 2006-06-06 12:54:31 得分 0

虚拟主机提供商被黑,你叫你的用户怎么信你?Top

49 楼zhangjingcheng（ASP,JSP『学习者』）回复于 2006-06-06 13:05:40 得分 0

顶Top

50 楼Ischema（花客）回复于 2006-06-06 13:08:29 得分 0

......Top

51 楼klend（苯鸟（2006））回复于 2006-06-06 13:40:55 得分 0

楼主不是在广告把
我看没什么问题嘛Top

52 楼YuLimin（阿敏总司令：简单就是美—钻石闪闪您快结贴！）回复于 2006-06-06 13:53:45 得分 0

系统被搞定？格了重来：）哈。。。Top

53 楼zhuangyan2004（庄严）回复于 2006-06-06 13:55:28 得分 0

回复人：dam520() ( 二级(初级)) 信誉：100 2006-06-05 09:57:00 得分:0
?
在服务器上做个“蜜罐（入侵检测系统）”，看看他是这么进入的，或者楼主分析一下系统日志
================================================
教教我怎么做“蜜罐（入侵检测系统）”Top

54 楼dam520（）回复于 2006-06-06 14:06:22 得分 10

“蜜罐”即让黑客误以为已经成功入侵网络，并且让其继续“为所欲为”，我们的目的在于拖延时间，以便我们的管理员能把黑客“抓住”。我们使用的软件是“Trap Server”,它能模仿很多web服务器，如apache http server，Micosoft IIS 等服务器。

1．这里选择做IIS服务器，在”target hsot”里填入本服务器IP地址，”last attacker”记录的是上次“攻击”服务器的IP地址。

2．下面我们配置一下真实的IIS服务器，我们填入8080，这样做是位了迷惑对方。在浏览器里键入http://192.168.10.250:8080/ 到达真是的web站店，80端口就是“蜜罐”。

3．这时为了让通过直接访问80端口可以访问真实的web服务器，又能让蜜罐记录，这需要一个端口重定向程序Fpipe。在CMD下使用fpipe –l 80 –s 53 –r 8080 192.168.10.250

将连接本机80端口的主机通过53端口连接到web服务器，端口为我们设定的8080

4．当访问http://192.168.10.250/时，将看到fpipe记录连接重定向。

5.我们用一个黑客工具模拟测试一下，用很老的IIS idq溢出程序进行测试。

6．这个时溢出攻击不成功的，我们的IIS是基于win2K SP4的，没这个古老的漏洞，然后在trapserver上可以看到对方的攻击记录。这样就达到了Honeypot的目的了Top

55 楼liq330（泉水叮咚）回复于 2006-06-06 14:42:44 得分 10

哈哈，我有一个好方法，十会笨的方法。

把后台管理的用户表分离出来。不要管理的时候把那个表删除了。

当要进行系统管理的时候再上传那个表。

就算黑客也三头六臂也无能为力！哈哈哈！！！！！！！Top

56 楼kgdiwss（∮明天去要饭）回复于 2006-06-06 14:53:45 得分 0

看IIS日志吧.Top

57 楼canserly（没啥不好意思）回复于 2006-06-06 16:13:29 得分 0

liq330(泉水叮咚) ( ) 信誉：100 2006-6-6 14:42:45 得分: 0

哈哈，我有一个好方法，十会笨的方法。

把后台管理的用户表分离出来。不要管理的时候把那个表删除了。

当要进行系统管理的时候再上传那个表。

就算黑客也三头六臂也无能为力！哈哈哈！！！！！！！

这个LZ可以试下Top

58 楼hreoghost（Challenge oneself，break through limit！）回复于 2006-06-06 16:19:36 得分 0

关注ING...Top

59 楼tjj36（忧郁的眼睛）回复于 2006-06-06 16:27:05 得分 0

木马，用木马捕捉器，搜索一下，肯定你的服务器端有木马一类的文件.Top

60 楼yanghuijun（会飞的鱼）回复于 2006-06-06 16:32:24 得分 0

把日志贴出来看一下Top

61 楼soft_2008（冬天到了，春天还远吗？）回复于 2006-06-06 17:07:27 得分 0

拨打 110

BY:
net_lover(孟子E章) ( ) 信誉：875 2006-6-5 8:04:13 得分: 0

经典~

Top

62 楼www_31365_com（Lihoo.org）回复于 2006-06-06 17:09:20 得分 0

你把上传类都删除了，检查文件有没有被修改过，如果没估计是你服务器本身的问题。Top

63 楼yeetoo（一土）回复于 2006-06-06 17:14:37 得分 0

开ftp了吗? 用ftp看一下哪些文件被改动过.Top

64 楼kseawolfk（拼命海三狼）回复于 2006-06-06 17:19:36 得分 0

标记一下Top

65 楼lovebeyondforever（我不信）回复于 2006-06-06 17:48:10 得分 0

先查看一下数据库里面是不是多了99D_CMD and 99D_TMP 表
如果有删除
Top

66 楼xb8254（想换不换）回复于 2006-06-06 18:28:00 得分 0

markTop

67 楼ASP188（）回复于 2006-06-06 18:53:30 得分 0

服务器上的网站，出卖了你：http://www.heecn.com/存在上传漏洞，跟网管联系！！！！
万网垃圾吧呵呵
小黑客～～Top

68 楼ASP188（）回复于 2006-06-06 18:55:18 得分 0

看这个网页，呵呵！
虚拟主机惹的祸！！
http://www.eehome.net/upload.asp?action=upfileTop

69 楼dragonhell（冷箫吟）回复于 2006-06-06 19:28:27 得分 0

晕，现在流行 or=or 登陆后台，管你用户密码。Top

70 楼lyfer（叼着白沙写程序）回复于 2006-06-06 20:15:42 得分 0

过滤SQL的,呵呵,刚才试了一下,基本上还算安全,可能你的服务器被H了Top

71 楼lovebanyi（风云）回复于 2006-06-06 20:35:31 得分 0

可能是溢出漏洞了.Top

72 楼tantanaicb（）回复于 2006-06-06 20:43:08 得分 0

我们公司网站也被黑了,4月23号和六月1号到5号之间,2个不同的黑客，因为黑站的方式不同，一个是挂了２图片再挂木马，但是不破坏我们的数据，一个是恶意破坏数据的，我们用的是中资源的虚拟主机，还好网站数据又备份，才没有造成很大损失，又黑客朋友有兴趣可以帮忙检查下我们公司网站到底有那些漏洞，www.lingxiu.com.cn

我的联系方式 cbaiwawa@hotmail.com 欢迎指导Top

73 楼heroooooo（学习.NET）回复于 2006-06-06 22:15:43 得分 0

74 楼jkx01whg（爱迪01）回复于 2006-06-06 22:16:50 得分 0

upTop

75 楼caobin518（linlin）回复于 2006-06-06 22:21:30 得分 0

同情.前不久我们公司服务器也被黑过Top

76 楼caobin518（linlin）回复于 2006-06-06 22:22:29 得分 0

文件太多,文件夹也太多,都不知道从何处查起.特别是黑客们在服务器上已放了木马,现在想删除它真的很难了Top

77 楼heroooooo（学习.NET）回复于 2006-06-06 22:29:13 得分 0

文件太多,文件夹也太多,都不知道从何处查起.特别是黑客们在服务器上已放了木马,现在想删除它真的很难了
__________________________
有个东西很好找的...Top

78 楼bary（）回复于 2006-06-07 07:35:04 得分 0

可以求助互联网安全中心，这帮人平时都闲死了，听到你来求教，一定兴奋死Top

79 楼chinahuman（铁匠）回复于 2006-06-07 08:04:25 得分 0

感觉是SQL注入的可能性比较大.因为它出现的是破坏数据,否则如果是用木马的话,那么它主要是破坏页面Top

80 楼SInoyew（天行杨）回复于 2006-06-07 08:45:15 得分 0

SQL注入的可能性比较大.Top

81 楼jy03108434（java小破孩）回复于 2006-06-07 09:14:21 得分 0

bary() 的话当真？Top

82 楼chenjinaban（cj）回复于 2006-06-07 09:32:52 得分 0

markTop

83 楼java_augur（听着音乐 ☆☆☆☆☆☆）回复于 2006-06-07 10:01:23 得分 0

网页上的flash似乎有错别字，“抵到你唔信”？Top

84 楼Wintalen（石光荣）回复于 2006-06-07 10:23:01 得分 0

应该是SQL注入漏洞。Top

85 楼loosewell（）回复于 2006-06-07 10:25:55 得分 0

markTop

86 楼yungezi（云鸽子）回复于 2006-06-07 10:34:17 得分 0

呵呵！我以为只有我们公司的网站被黑，原来还有这么多的同道中人！我想应该是万网服务器系统出了问题！好在我们也有备份！备份的重要性又表现出来了！Top

87 楼javaanywhere（阿扎）回复于 2006-06-07 11:07:45 得分 0

这么多人说，到底是为什么Top

88 楼zgengle（什么都不会）回复于 2006-06-07 11:11:06 得分 0

mark一下Top

89 楼xgcom（xg）回复于 2006-06-07 11:22:42 得分 0

markTop

90 楼ADL1028（）回复于 2006-06-07 11:33:28 得分 0

upTop

91 楼mooniscrazy（月色疯狂）回复于 2006-06-07 11:35:15 得分 0

做网站的最基本知识，入门第一课：不要拼接sql，使用参数化查询。否则就有sql注入的危险。
记住了！这没什么好说的。
Ado可以用Command对象的Parameter,jdbc可以用占位符。
sql注入都是程序员的基本功太差。
要是服务器配置好了，程序没问题，不用的端口都关掉，iis的管理组件都关掉，仅仅开80端口，再配置好自动更新，那么神仙也难下手。Top

92 楼realphenix（且听风吟）回复于 2006-06-07 12:00:12 得分 0

估计已经被人获取了服务器的系统级权限Top

93 楼edwin110（戴戴）回复于 2006-06-07 12:22:33 得分 0

写个全局函数~对一切post get过程中非法字符过滤或替换~Top

94 楼djfu（飞龙在天）回复于 2006-06-07 12:24:57 得分 0

net_lover(孟子E章)
======================

又看到了2颗钻石。。。Top

95 楼snmr_com（麒麟厍人）回复于 2006-06-07 14:22:14 得分 0

“抵到你唔信”是粤语Top

96 楼jackie2004（时光的羁绊）回复于 2006-06-07 14:34:02 得分 0

记录~~Top

97 楼water621（浅水蛟）回复于 2006-06-07 15:38:33 得分 0

学习
收藏Top

98 楼ghostagain（心情卡片）回复于 2006-06-07 19:23:00 得分 0

找当地网监在理论上这些人应该管理这些事情Top

99 楼saintwxm（）回复于 2006-06-07 20:56:48 得分 0

你直接用2003系统不就可以了,够稳定还够快!Top

100 楼nomarl（草原狼）回复于 2006-06-07 22:07:15 得分 0

!!!!!!!
Top

101 楼taolixiang（飞扬怎么还不升级！！...... 哦 ...... 原来是要答对题才能升！）回复于 2006-06-07 22:21:26 得分 0

帮UPTop

102 楼fffddd（假钞换贞操）回复于 2006-06-07 22:22:55 得分 0

万网的空间？哈哈哈，不敢恭维。它们除了用钱到处砸广告外，安全是没有人管的，遇到这种情况楼主自认倒霉吧！Top

103 楼mrzj（mrzj）回复于 2006-06-07 22:23:16 得分 0

最安全的做法，把所提交的字符串都过滤掉“回车、换行、空格、tab”，比如登录时用户输入的用户名、密码这两个字符串都要进行上面的处理。Top

104 楼realmx（任天）回复于 2006-06-08 01:44:28 得分 0

换一套系统试试看。Top

105 楼sosworlddragon（神母之神子）回复于 2006-06-08 02:01:15 得分 0

你没中木马？？？？？？？？？？那么自信呵呵？？？？？？？？？？Top

106 楼feiren1421（Slash:弦断谁听,我醉谁知?）回复于 2006-06-08 03:24:01 得分 0

收藏Top

107 楼lemontreefun（flying）回复于 2006-06-08 08:52:46 得分 0

gzingTop

108 楼howyougen（夫孝，德之本也，教之所由生也）回复于 2006-06-08 09:34:23 得分 0

别用sql语句，全部换成存储过程
然后在数据库中设置用户权限只能执行存储过程，不能直接访问表Top

109 楼debehe（躯壳）回复于 2006-06-08 09:40:43 得分 0

那些都不是黑客是土人！Top

110 楼feyge（菲戈@http://feyge.spaces.msn.com/）回复于 2006-06-08 09:41:49 得分 0

signTop

111 楼fengye912（）回复于 2006-06-08 12:40:21 得分 0

谢谢各位了。呵呵。可能是在线编缉器的漏洞。我把它删了好象就可以了Top

112 楼cnrk_net（疯子）回复于 2006-06-08 12:54:50 得分 0

好了，
散分吧，呵呵。

Top

113 楼systemx（－操！老子从不讲脏话的！阿弥陀佛！－）回复于 2006-06-08 17:49:26 得分 0

mrshelly(Shelly) ( ) 信誉：100 2006-6-4 9:09:53 得分: 0

呵呵。这类问题都解决不了。你还在网站上说做系统开发？？？？？？

Top

114 楼java_augur（听着音乐 ☆☆☆☆☆☆）回复于 2006-06-08 17:54:55 得分 0

“抵到你唔信”是粤语

粤语里面“抵”“低”不分？Top

115 楼snmr_com（麒麟厍人）回复于 2006-06-09 15:04:24 得分 0

“抵到你唔信”是粤语

粤语里面“抵”“低”不分？
no

粤语“抵”有“值得”的相近意思，例如粤语“抵死”=普通话“活该”
粤语“抵买”=普通话“值得买”
粤语“抵到你唔信”=普通话“如此超值以致你无法相信”Top

116 楼gzhoney（@）回复于 2006-06-12 15:18:34 得分 0

记下
Top