上次發(fā)現(xiàn)網(wǎng)站文件夾的好幾個目錄下出現(xiàn)了不明的asp文件，才發(fā)現(xiàn)中了asp木馬。通過日志分析，發(fā)現(xiàn)黑客是通過論壇程序的漏洞上傳的木馬文件。后研究了很多有關(guān)的資料，通過限制文件夾的寫入權(quán)限以及禁用了論壇的上傳功能來暫時獲得了相對的安全。希望大家引以為戒，不要在問題出現(xiàn)后才開始關(guān)注安全問題。

其實(shí)，如果服務(wù)器上安裝了一個好的防病毒軟件，這樣的木馬程序是無法藏身的，比如使用江民的病毒防火墻，就能基本杜絕國產(chǎn)木馬文件的存活，問題是：一個高流量的服務(wù)器，安裝像江民這樣的病毒防火墻，性能會有多大的影響呢？目前沒有任何關(guān)于病毒防火墻的資源消耗方面的測試。

無論如何，從安全配置的角度來提早做好防衛(wèi)，是最為關(guān)鍵的。這不僅僅涉及到服務(wù)器的配置，還涉及到WEB程序的代碼安全問題，比如SQL的注入攻擊。即便你的操作系統(tǒng)的配置絕對安全，仍然無法抵御一個小小的SQL注入漏洞的侵略---這里面涉及的安全問題太多了。

下面是轉(zhuǎn)貼的文章，請各位認(rèn)真了解一下：

淺談網(wǎng)站入侵的常用方法和一般思路

首先介紹下什么樣站點(diǎn)可以入侵 我認(rèn)為必須是動態(tài)的網(wǎng)站 如ASP PHP JSP等代碼編寫的站點(diǎn)
如果是靜態(tài)的（.htm或html）,一般是不會成功的

14種可利用的入侵方法

1.上傳漏洞
如果看到:選擇你要上傳的文件 [重新上傳]或者出現(xiàn)“請登陸后使用”，80%就有漏洞了！
有時上傳不一定會成功,這是因?yàn)镃ookies不一樣.我們就要用WSockExpert取得Cookies.再用DOMAIN上傳.　

2.注入漏洞
字符過濾不嚴(yán)造成的

3.旁注,也就是跨站.
我們?nèi)肭帜痴緯r可能這個站堅(jiān)固的無懈可擊，我們可以找下和這個站同一服務(wù)器的站點(diǎn)，然后在利用這個站點(diǎn)用提權(quán)，嗅探等方法來入侵我們 要入侵的站點(diǎn)。

4.暴庫:把二級目錄中間的/換成%5c　
　
　

5.’or’=’or’這是一個可以連接SQL的語名句.可以直接進(jìn)入后臺。我收集了一下。類似的還有：
　’or’’=’　" or "a"="a　　 ’) or (’a’=’a　　 ") or ("a"="a　　or 1=1--　 ’ or ’a’=’a

6.社會工程學(xué)。這個我們都知道吧。就是猜解。
　

７.寫入ASP格式數(shù)據(jù)庫。就是一句話木馬〈%execute request("value")%〉 （數(shù)據(jù)庫必需得是ASP或ASA的后綴）
　　

8.源碼利用：一些網(wǎng)站用的都是網(wǎng)上下載的源碼.有的站長很懶.什么也不改.
　　　

9.默認(rèn)數(shù)據(jù)庫/webshell路徑利用:這樣的網(wǎng)站很多/利人別人的WEBSHELL.
/Databackup/dvbbs7.MDB
/bbs/Databackup/dvbbs7.MDB
/bbs/Data/dvbbs7.MDB
/data/dvbbs7.mdb
/bbs/diy.asp
/diy.asp
/bbs/cmd.asp
/bbs/cmd.exe
/bbs/s-u.exe
/bbs/servu.exe
工具：網(wǎng)站獵手　挖掘雞 明小子

10.查看目錄法:人一些網(wǎng)站可以斷開目錄，可以方問目錄。
210.37.95.65 images

11.工具溢出
　　　　　　
12.搜索引擎利用:
　
(1).inurl:flasher_list.asp　 默認(rèn)數(shù)據(jù)庫:database/flash.mdb　 后臺/manager/
(2).找網(wǎng)站的管理后臺地址:
site:xxxx.comintext:管理
site:xxxx.comintitle:管理　 〈關(guān)鍵字很多，自已找〉
site:xxxx.cominurl:login
(3).查找access的數(shù)據(jù)庫,mssql、mysql的連接文件
allinurl:bbsdata
filetype:mdbinurl:database
filetype:incconn
inurl:datafiletype:mdb

13.COOKIE詐騙：把自己的ID修改成管理員的，MD5密碼也修改成他的，用桂林老兵工具可以修改COOKIE。

14.利用常見的漏洞：如動網(wǎng)BBS
可以先用:dvbbs權(quán)限提升工具，使自已成為前臺管理員。
THEN，運(yùn)用:動網(wǎng)固頂貼工具，找個固頂貼，再取得COOKIES，這個要你自已做。我們可以用WSockExpert取得Cookies/NC包
這個我就不做了，網(wǎng)上教程多的是，自已下個看看。
工具：dvbbs權(quán)限提升工具　 動網(wǎng)固頂貼工具

15.還有一些老漏洞。如IIS3，4的查看源碼，5的DELETE
　 CGI，PHP的一些老洞，我就不說了啊。。太老了。沒有什么大用途�！�

#######################################
　　　　　　　

　　　　　　　　　一般入侵思路　　　　

　　　　　　　腳本注入（ASP PHP JSP）
1.腳本漏洞　　　
　　　　　　　其它腳本漏洞（上傳漏洞，跨站漏洞）　

　　　　　　　　
　　　　　　　　　
　　　　　　域名旁注　　　
2.旁注　　　　　
　　　　　 “IP”旁注

　　　　　　本地溢出
3.溢出漏洞　
　　　　　　遠(yuǎn)程溢出

　　　　　　ARP欺騙
4.網(wǎng)絡(luò)竊聽
　　　　　　IP欺騙

5.社會工程學(xué)