网站漏洞与挂马检测.PPT

（2）门户通网站挂马漏洞检测器 （3）客图ASP站长安全助手vbs版 AntiIframe.vbs #该脚本是批量挂马程序的逆向，用于批量清除被添加到文件中的恶意代码。记事本打开文件可以修改Pattern参数指定要处理的文件名，文件名之间用|隔开（也支持vbs正则表达式）。由于要修改文件，请谨慎的使用（最好先备份文件） #用法: CScript AntiIframe.vbs [处理的路径] [包含清除内容的文件] #例子: CScript AntiIframe.vbs d:\Web d:\lake2.txt Scan.vbs #该脚本用于本地扫描ASP木马，速度比ASP版快很多。可能存在误报、漏报的情况，视具体情况处理 #用法: CScript Scan.vbs [扫描路径] [结果HTM文件路径] #例子: CScript Scan.vbs d:\Web f:\my\report.html 2、杀毒软件监控 瑞星 小红伞 Avast！ avg 3、第三方监控软件 360的网页木马监控 网络巡警 其它一些杀毒软件也能监控并报警 4、代码备份检测 代码的备份 异地备份 ftp备份 文件列表备份 对脚本文件的备份 Dir /a /swebapptxt 专业备份软件 比对文件大小和日期来进行检测 5、日志分析检测 （1）搜索/script 5、日志分析检测（续） （2）根据提示搜索挂马文件 5、日志分析检测（续） （3）手工查看IIS日志文件 （四）安全防范措施 不断完善的程序安全 安全设置 网站权限严格设置 各个软件口令安全 默认设置安全 管理安全 杀毒和防火墙 监控和审计 责任心和上进心 （六）挂马反击 定位木马文件/cn.js 使用下载工具下载这些文件 Cn.js htmlheadtitle/titleMETA NAME=ROBOTS CONTENT=NOARCHIVE/head frameset rows=18,90%,0 frameborder=no framespacing=0 scrolling=no NORESIZE marginwidth=0 marginheight=0 frame src=/purchase.php frameborder=0 scrolling=no NORESIZE marginwidth=0 marginheight=0 frame name=main src=87/content.php?d=0232073500720d3506605d6c076601310127086d0239 scrolling=auto NORESIZE marginwidth=0 marginheight=0 frame src=/frame.php frameborder=0 scrolling=no NORESIZE marginwidth=0 marginheight=0/framesetnoframes/noframes /html 获取文件指向 /stat.js?d= /?d= /pop.htm /? 43/content.php?d=0131023001730c3454320b3a056454640b2d5336546f 再次下载文件 获取更多挂马者信息 IP地址43 服务器托管：江苏省江阴电信IDC机房? 网站域名列表 （七）挂马应急响应方案 发现挂马 保护“现场” 快速恢复网站 追踪挂马源头 解决存在的安全问题 重新评估和部署 挂马应急响应技术手段 快速恢复挂马网站 灾害备份 培训管理人员 专业安全公司进行评估和加固 * 网站漏洞与挂马检测 交流内容 安全框架和体系 网站漏洞 网站挂马 挂马检测 安全防范措施 挂马反击 挂马应急响应方案 （一）安全框架和体系 1、安全体系架构 （一）安全框架和体系 2、系统安全体系策略 （一）安全框架和体系（续） 3、系统的安全生命周期 （二）网站漏洞 1、程序安全 程序员留的后门（亿城影视cms系统挂马） 1、程序安全（续） 输入约束不严格 提交参数 开发过程中的安全需求 源代码泄漏 程序代码安全 开发和部署中的弱口令 2、程序漏洞 SQL注入漏洞 专用编辑器Ewebeditor/Fckeditor/CuteEditor漏洞 上传功能导致的漏洞 mdb数据库改用ASP\ASA等名字作为数据库扩展名 后台显示数据库路径 数据库可备份修改扩展 文件管理部分传递参数过滤问题及外部提交 任意文件下载漏洞 远程包含漏洞 使用未加密的cookies进行用户权限等级及权限验证 session对象欺骗 3、管理安全 网站调整 需求调整 功能调整 导致一些安全隐患