网站被黑了，asp.net有怎么大的漏洞吗？

网站系统密码给改了，数据库给拿走了！     系统是windows2k3   密码十六位以上！ 问题点数：10、回复次数：70Top

1 楼viena（维也纳N02）回复于 2006-10-23 12:10:57 得分 0

可能是系统漏洞，与asp.net无关Top

2 楼jimu8130（火箭的未来在哪里?）回复于 2006-10-23 12:12:29 得分 0

也许是你的程序的漏洞，也许是操作系统的漏洞，及时打补丁Top

3 楼viena（维也纳N02）回复于 2006-10-23 12:13:10 得分 0

//系统是windows2k3   密码十六位以  
  系统用户还是数据库用户还是软件系统的用户？  
  只有一个用户吗？  
  有没有打全所有补丁？Top

4 楼lasker（）回复于 2006-10-23 12:15:38 得分 0

还留下个QQ     真是嚣张啊！！     总之就是密码全被攻破Top

5 楼fphuang（人在哈尔滨·四月）回复于 2006-10-23 12:16:54 得分 0

或许是你身边的人跟你玩恶作剧Top

6 楼lasker（）回复于 2006-10-23 12:18:26 得分 0

是我公司的网站又不是个人网站   能拿公司网站开玩笑的吗？  
   
  我现在正找能恢复硬盘数据的软件！！Top

7 楼blackhero（黑侠客）回复于 2006-10-23 12:23:06 得分 0

补丁Top

8 楼yangao（人品决定一切，相貌决定人品！）回复于 2006-10-23 12:24:10 得分 0

留下QQ找你要钱呢Top

9 楼lasker（）回复于 2006-10-23 12:25:53 得分 0

先试试看   用软件能不能恢复吧     关键是网管不是我     我也不知道他有没打补丁  
   
  但是程序是我写的！Top

10 楼dengenming（佛尔梅罗之鹰）回复于 2006-10-23 12:28:00 得分 0

研究一下是哪一块出问题...Top

11 楼lasker（）回复于 2006-10-23 12:49:06 得分 0

不知道   不过应该是通过网站进去的吧？？Top

12 楼Santos（快乐的GG）回复于 2006-10-23 13:08:32 得分 0

不一定是你的程序有问题,也许服务器上被装了木马,也说不定.Top

13 楼lasker（）回复于 2006-10-23 13:13:13 得分 0

程序无论写的漏洞多么大也不应该会有系统密码被修改的漏洞吧？？  
   
  系统漏洞我想！！Top

14 楼yuwenge（活得痛快）回复于 2006-10-23 14:05:10 得分 0

前任网管干得巴Top

15 楼yespie（yespie）回复于 2006-10-23 14:09:41 得分 0

 
  根据我看过被黑的服务器的经验！  
  深圳的NPS哪个支付系统的服务器就有这个问题，这是我在机房看到的。  
   
  100%是windows系统安全设置没做好。  
   
   
  Top

16 楼lasker（）回复于 2006-10-23 14:42:21 得分 0

如果是注入     攻击能做到改密码吗？？Top

17 楼lasker（）回复于 2006-10-23 14:44:54 得分 0

数据总算是恢复了！！Top

18 楼3252889（猫之良品）回复于 2006-10-23 14:51:25 得分 0

程序被注入了很有可能改了密码,防黑可是一大学问.  
  如果你程序有问题或者系统设置问题,要知道数据库密码是很容易的事,你的数据库如果没有封端口,外人就可以用密码进数据库,对数据库进行任何操作,还可能从MSSQL建立系统帐号,提升至管理员权限.  
  目录权限尽量定小一点,把所有everyone权限删除.程序用的数据库帐号也应该限制权限,如果数据只让查询,不需要更新,那就限制它只可以用insert.不要用默认系统帐号名,一定要改一个特别的.安装服务器软件不要装到默认目录下.等等这些操作都是防黑的必要工作.Top

19 楼lasker（）回复于 2006-10-23 14:54:28 得分 0

我不是说数据库的密码     数据库的密码被改     还没那么奇怪       win2k3的密码被改了！Top

20 楼fellowcheng（鹰击长空）回复于 2006-10-23 15:03:21 得分 0

怕是木马程序Top

21 楼Athickhead（穿着三角裤到处跑不叫裸奔）回复于 2006-10-23 15:17:16 得分 0

贴个网址出来看看嘛。Top

22 楼lasker（）回复于 2006-10-23 15:23:08 得分 0

看不到东西的         现在正在恢复数据估计要9个小时左右     不知道能不能完全恢复~Top

23 楼kknd2005（人生有两种遗憾：一种是没得到,一种是得到了）回复于 2006-10-23 15:35:37 得分 0

拼字符串的SQL?  
   
  SQL注入攻击对付这个很EASY~Top

24 楼lasker（）回复于 2006-10-23 15:38:55 得分 0

更改系统密码如何做到？Top

25 楼feeling2008（feeling2008）回复于 2006-10-23 15:40:21 得分 0

ta   qq   duo   shao   liu   xiaTop

26 楼dlzhangln（才高七八斗，学富五六车，改行三四次，月入一两千!）回复于 2006-10-23 15:41:59 得分 0

善哉善哉Top

27 楼lasker（）回复于 2006-10-23 15:42:51 得分 0

他有不说话的！！Top

28 楼szc21（卖炭翁）回复于 2006-10-23 15:44:10 得分 0

密码全被破解？这和.net没有关系．Top

29 楼lasker（）回复于 2006-10-23 15:45:23 得分 0

sql   注入也能改admin系统密码吗？Top

30 楼qltouming（缘木渔人-临渊羡鱼，不若退而结网）回复于 2006-10-23 15:46:00 得分 0

Mark,学习一下Top

31 楼renmasheshou（狼狗）回复于 2006-10-23 15:47:05 得分 0

系统密码当然是WINDOWS自己的问题～Top

32 楼lasker（）回复于 2006-10-23 15:49:15 得分 0

我想问一下用sql注入可以   改系统密码吗？Top

33 楼netdys（）回复于 2006-10-23 15:51:38 得分 0

hehe~~Top

34 楼lasker（）回复于 2006-10-23 15:52:09 得分 0

？？Top

35 楼wulei5482（忍者）回复于 2006-10-23 16:07:23 得分 0

看来不少程序员对网络安全还是了解的比较少啊，楼上N多人说系统密码被改就不关.Net的事。  
  但现在的入侵直接拿下系统权限的真的很少。大都是利用web漏洞（sql注入最典型）想办法上传个asp（php、jsp、aspx）木马，俗称webshell。在webshell里可以执行命令，当然大都不是系统权限，然后再提升成系统权限。webshell一般都可以浏览目录、观察系统服务、执行非管理员命令...这些对提升权限很有帮助的。  
   
  web漏洞－>web运行权限－>系统权限  
  Top

36 楼geodetic（）回复于 2006-10-23 16:11:30 得分 0

用sql注入可以   改系统密码吗？  
  ========================  
  如果程序使用sa账户访问数据库，就有可能通过注入使用xp_cmdshell执行net   user随意增删系统用户。  
  Top

37 楼lasker（）回复于 2006-10-23 16:11:53 得分 0

那么说是注入的“功劳”了？？Top

38 楼Robert_Wang1983（ 萝卜）回复于 2006-10-23 16:12:08 得分 0

我想问一下用sql注入可以   改系统密码吗？  
  ----------------------  
  可以Top

39 楼lasker（）回复于 2006-10-23 16:17:30 得分 0

果然那混蛋像我们要钱了！     还留下建行的卡号和用户名！！  
  Top

40 楼yaozhg（网站开发架构师）回复于 2006-10-23 16:19:10 得分 0

我想问一下用sql注入可以   改系统密码吗？  
   
  ==================  
   
  最终的结果是可以，通过sql注入，取得sql账号，把sql账号提升为管理员级别，然后新增系统adminis....账号，之后通过远程登陆上服务器再操作任何东西。Top

41 楼gaofeng2000（高老师）回复于 2006-10-23 16:26:46 得分 0

没有防火墙吗？Top

42 楼wnix（王引河）回复于 2006-10-23 16:32:59 得分 0

有这种事情！！  
       
  *****************************************************************************  
  欢迎使用CSDN论坛阅读器   :   CSDN   Reader(附全部源代码)    
  http://www.cnblogs.com/feiyun0112/archive/2006/09/20/509783.htmlTop

43 楼lasker（）回复于 2006-10-23 16:36:35 得分 0

boss   去报警了！！     原先还以为是假的。。。。Top

44 楼wahva（hhhh）回复于 2006-10-23 16:48:56 得分 0

赚钱还有这么赚的Top

45 楼sp1234（asp.net不是一个语言，是一个操作系统）回复于 2006-10-23 17:04:11 得分 0

除了问题还不早点找出原因，却已经开始怪开发工具了。这种只顾推诿的程序员写的程序早晚会出大乱子。Top

46 楼lasker（）回复于 2006-10-23 17:04:15 得分 0

把me的数据库给拿走了！！Top

47 楼zoloao（）回复于 2006-10-23 17:08:49 得分 0

长见识了哦  
  Top

48 楼edzhcom（http://edzh.com 技术文章，美女贴图）回复于 2006-10-23 17:24:30 得分 0

黑客做成这样，bs一个，诈骗犯！抓到了日死他！Top

49 楼sunbird69（太阳鸟）回复于 2006-10-23 17:31:58 得分 0

数据库用户没加密?  
  很可能是系统所致Top

50 楼sp1234（asp.net不是一个语言，是一个操作系统）回复于 2006-10-23 17:35:33 得分 0

http://community.csdn.net/Expert/topic/5101/5101787.xml?temp=.1388056  
   
  要检查几件事，你们的测试人员有没有对网站注入进行测试，如果有，可以从测试用例设计、执行情况等记录去查。如果没有，那么你们的问题可就大了。也许，连软件作坊都谈不上，软件开发过程太随意了。Top

51 楼lasker（）回复于 2006-10-23 18:20:16 得分 0

我没怪工具！   只是觉的不可思意       怎么连系统密码都给弄了！  
   
  现在那个家伙要我们2K     汗~     休想     太小看注入的威力了Top

52 楼czq9966（宁录)(毛主席领导咱闹革命……）回复于 2006-10-23 18:22:16 得分 0

应该是你程序有漏洞Top

53 楼lasker（）回复于 2006-10-23 18:23:46 得分 0

应该是吧         因为有的地方查询很复杂所以有了些拼接SQL  
   
  如果全部改成代参数的SQL貌似不容易改   啊~~Top

54 楼vainnetwork（）回复于 2006-10-23 19:41:10 得分 0

还有这事。。Top

55 楼BookSirSwordsMan（书生剑客）回复于 2006-10-23 19:48:53 得分 0

楼主，看来你对SQL注入太小看了，我想你应该用SA级别的用户连接数据库的，不然不会搞出这种事情  
   
  现在网上很少有这种东西出现了，看来你编程的时候很大意，ASP.NET用参数式传递所有提交的东西的话，根本就不会出现这种情况  
   
  呵呵，那人真是的删了人家东西就好了，还要钱，现在我真TMD讨厌那些黑人家东西，自称黑客的鸟人  
   
  你以后小心点就是了，呵呵，“在天上飞的未必都是天使，有可能是些鸟人”  
   
   
   
  ------------------------------------------------------------------------  
  哎，看着大家都有好工作了  
   
  羡慕，自己也要好好努力了  
   
  其实自己能力并不是不及他  
   
  只是我在这里的机会不大呀  
   
  真想有一份好的工作让我做  
   
  好好为那公司服役几年再说Top

56 楼yanglinee（）回复于 2006-10-23 19:52:16 得分 0

关注Top

57 楼lys1978900（天下無雙）回复于 2006-10-23 20:16:06 得分 0

打了补丁的2003   能得到系统权限好象很难  
  从SQL   SERVER   或者   FTP   方面考虑一下,可能存在致命漏洞  
   
  如果从你的ASP.NET程序你取得系统权限,那有点太不思意了,这样的黑客估计不会因为2000元冒这么大风险吧,他获得系统权限后,修改你网站密码等等很容易Top

58 楼angleoldhen（oldhen）回复于 2006-10-23 20:44:42 得分 0

报警是对的。Top

59 楼winner2050（winner）回复于 2006-10-23 21:35:11 得分 0

一般的公司网站就是添加删除修改数据库信息而已，没有能力危害到系统，因为它根本控制不了系统。  
   
  出这个问题一定是更高级的东西又漏洞了。  
   
  那么顺利修改那么多东西，基本不用想SQL注入了，这么菜鸟网络流氓根本实现不了。Top

60 楼heroooooo（学习.NET）回复于 2006-10-23 22:11:09 得分 0

建议打上SP1补丁，否则取得系统权限后就可以FING密码了，估计你的是SQL的数据库出了问题，初步猜测是你的2003系统还支持ASP的，而且你的IIS上挂着不止一个网站，而且网站的权限没有设置好，导致SQL的密码和USER被查看，然后在SP1补丁没有打的前提下系统密码被盗走，没有做登陆IP策略，导致远程登陆成功，从而做进一步的操作..Top

61 楼kubbye（小蛤蟆就是我）回复于 2006-10-23 22:56:20 得分 0

密码没加密Top

62 楼xcz1943（小钊）回复于 2006-10-23 23:38:19 得分 0

可怕的事情！Top

63 楼bb_bang（）回复于 2006-10-24 00:38:13 得分 0

markTop

64 楼lasker（）回复于 2006-10-24 07:16:38 得分 0

heroooooo()   说的好像很有道理Top

65 楼lasker（）回复于 2006-10-24 08:11:01 得分 0

IIS确实不止一个网站   而且又有asp又有asp.net       补丁我问过了说是打了  
   
  数据库也确实是用sa权限的帐号  
   
  我也认为sql注入没那么大的威力！     2k3密码都给改了   整台机器的权限都给拿下了  
   
  数据库拿走了     要2k才肯还我们       留下了QQ号！Top

66 楼iwlk（http://www.ChinaFedora.cn/ fedora论坛）回复于 2006-10-24 08:25:55 得分 0

要2k才肯还我们  
  ---------  
  这么便宜呀Top

67 楼levin9（生活就是強姦，習慣啦就是享受）回复于 2006-10-24 09:02:08 得分 0

〔配置有問題的。Top

68 楼gameboy766（古巴）回复于 2006-10-24 09:14:40 得分 0

如果是sa连数据库的话，应该很轻松就能得到系统权限，改密码只是小意思，人家可能都远程登录到服务器上玩了呢。  
   
  至于问题根源，如果系统补丁打齐的话那应该就是程序问题。而且我认为，如果那小子真有能力从系统漏洞入侵，也就不会贱到用这种方式骗钱了，所以99%是通过sql注入来的。  
  Top

69 楼zhangkunls（小憨）回复于 2006-10-24 09:26:27 得分 0

有这么强Top

70 楼hf_165（）回复于 2006-10-24 09:35:33 得分 0

只要能拿到SA密码，什么事情能做。更改系统管理员密码当然是小菜一碟。Top

相关问题

• 帖主：lasker

• CSDN .NET频道
• .NET类图书
• C#类图书
• .NET类源码下载