可能是最近在參加 CSDN 舉行的那個(gè)評(píng)選，F(xiàn)ineUI 論壇吸引了一大批圍觀群眾，也吸引了一些黑客的目光，本文會(huì)按時(shí)間順序記錄下 FineUI 論壇所遭受的這次網(wǎng)絡(luò)攻擊，期望能對(duì)其他站長有所幫助。

發(fā)現(xiàn)異常

2013-6-22 08:56

早上起來，像往常一樣打開 FineUI 官網(wǎng)論壇（http://fineui.com/bbs/ ）去發(fā)現(xiàn)進(jìn)不去，還以為服務(wù)器又受到 DDOS 攻擊（因?yàn)榍皟商旆?wù)器連續(xù)受到攻擊，也出現(xiàn)偶爾連不上的情況），就趕緊上 QQ 準(zhǔn)備聯(lián)系服務(wù)器管理員，卻發(fā)現(xiàn)服務(wù)器管理員已經(jīng)給我留言：

還沒看完留言就已經(jīng)頭皮發(fā)麻，真的是受到攻擊了，莫非是最近選票排的靠前被盯上了（后來發(fā)現(xiàn)不是這樣的），不由得一陣胡思亂想，數(shù)據(jù)庫數(shù)據(jù)有沒有丟失啊….冷靜下來，看下那張查出木馬的截圖：

 原來是 php 木馬，那這些文件又是如何上傳到服務(wù)器的呢？

服務(wù)器管理員的分析文檔
這次要真的感謝服務(wù)器管理員 №風(fēng)影㊣ 和他維護(hù)的服務(wù)器資源 http://www.kingidc.net/，他不但幫我暫時(shí)阻止了黑客的進(jìn)一步攻擊，而且詳細(xì)分析了如何受到攻擊，如下部分來自管理員的分析文檔： 

2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 115.236.84.185 Mozilla/5.0+(Windows+NT+6.2;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/27.0.1453.116+Safari/537.36 304 0 0 141 1534 62

2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 222.81.215.230 Mozilla/5.0+(Windows+NT+5.1)+AppleWebKit/537.1+(KHTML,+like+Gecko)+Chrome/21.0.1180.89+Safari/537.1 304 0 0 141 1194 95

2013-06-21 14:03:11 W3SVC129 123.157.149.29 POST /demo/upload/635074464204358063_ice.aspx action=edit&src=D%3a%5cHostingSpaces%5cfineuico%5cfineui.s1.kingidc.net%5cwwwroot%5c%5cindex.html 80 - 222.136.235.23 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0) 200 0 0 10497 48738 1008

2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 222.81.215.230 Mozilla/5.0+(Windows+NT+5.1)+AppleWebKit/537.1+(KHTML,+like+Gecko)+Chrome/21.0.1180.89+Safari/537.1 304 0 0 141 1161 98

2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 119.96.106.251 Mozilla/5.0+(Windows+NT+6.1;+rv:6.0.1)+Gecko/20100101+Firefox/6.0 200 0 0 14241 1190 67

2013-06-21 14:03:11 W3SVC129 115.239.252.29 GET /bbs/data/attachment/forum/201306/19/102624mwsyvybzk7g5szyw.png - 80 - 222.81.215.230 Mozilla/5.0+(Windows+NT+5.1)+AppleWebKit/537.1+(KHTML,+like+Gecko)+Chrome/21.0.1180.89+Safari/537.1 304 0 0 141 1161 100

這是我根據(jù)文件修改時(shí)間（日志內(nèi)使用的是UTC時(shí)間），在日志內(nèi)找到的相關(guān)操作：

2013-06-21 14:03:11 W3SVC129 123.157.149.29 POST /demo/upload/635074464204358063_ice.aspx action=edit&src=D%3a%5cHostingSpaces%5cfineuico%5cfineui.s1.kingidc.net%5cwwwroot%5c%5cindex.html 80 - 222.136.235.23 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0) 200 0 0 10497 48738 1008

顯然，這個(gè)人222.136.235.23在您站點(diǎn)內(nèi)利用上傳功能上傳進(jìn)了一個(gè)aspx木馬篡改了你的首頁文件。

/demo/upload/635074464204358063_ice.aspx

我意外發(fā)現(xiàn)，在/demo/upload/這個(gè)目錄內(nèi)發(fā)現(xiàn)了個(gè)馬，，，

Upload這個(gè)目錄內(nèi)，有好多好多文件。。?？赡苁侨思殷w驗(yàn)程序的時(shí)候上傳上來的。

這幾天的日志有點(diǎn)異常，不知道是不是有人在做壞事。。。。

我只有繼續(xù)分析那個(gè)IP的訪問日志了，將日志導(dǎo)入EXCEL然后篩選：

逐行查看，發(fā)現(xiàn)在他之前一直在 ：/demo/form/fileupload.aspx 這個(gè)頁面來回上傳文件。

從 338行 post了一個(gè)數(shù)據(jù)之后，就成功將他aspx木馬傳入了你的upload目錄內(nèi)：

我也隨之測試了一下 /demo/form/fileupload.aspx 這個(gè)頁面，上傳php，aspx文件都可以，而且穿了后，文件路徑就在下放輸出的圖片路徑內(nèi)可以獲?。?/p>

我將我的分析和日志導(dǎo)出結(jié)果發(fā)給你，望能盡快修復(fù)（驗(yàn)證上傳文件類型）。這個(gè)可能是之前上傳php木馬發(fā)包的一個(gè)入口。

為了防止有人繼續(xù)用這個(gè)漏洞傳入木馬或者篡改數(shù)據(jù)，我暫時(shí)幫你重命名了。。

/demo/form/fileupload.aspx -> /demo/form/fileupload__.aspx

你看這個(gè)人的IP，應(yīng)該就是我上面提到的IP了。他應(yīng)該已經(jīng)拿到了MYSQL的密碼，進(jìn)入了數(shù)據(jù)庫修改了權(quán)限了。

有道德的黑客

經(jīng)過上面的分析，已經(jīng)很明顯了，黑客的入侵途徑大致如下：

1. 通過 http://fineui.com/demo/#/demo/form/fileupload.aspx 上傳一個(gè)木馬 php 文件；

2. 通過此木馬獲取論壇權(quán)限并篡改首頁；

3. 將自己設(shè)為論壇管理員。

其實(shí)我最擔(dān)心的是他拿到管理員權(quán)限后會(huì)不會(huì)一下子把用戶全刪掉，或者做其他一些批量操作，這就麻煩了。

后來發(fā)現(xiàn)這位黑客沒有這么做，僅僅是把自己改成管理員爽了一把，我的心中不由的升氣一絲莫名的欣慰，感覺也沒那么擔(dān)心了，因?yàn)檫@是一位：

有道德的黑客：ice 

 修復(fù)被攻擊的網(wǎng)站

接下來，我的做法是：

1. 禁止用戶 ice 登陸論壇；

2. 修改 FineUI 的官方示例，只允許用戶上傳圖片文件，而不能上傳任何其他文件。

新增的限制文件上傳的代碼如下：

 protected readonly static List<string> VALID_FILE_TYPES = new List<string> { "jpg", "bmp", "gif", "jpeg", "png" };
   
  protected static bool ValidateFileType(string fileName)
  {
      string fileType = String.Empty;
      int lastDotIndex = fileName.LastIndexOf(".");
      if (lastDotIndex >= 0)
      {
          fileType = fileName.Substring(lastDotIndex + 1).ToLower();
      }
   
      if (VALID_FILE_TYPES.Contains(fileType))
      {
          return true;
      }
      else
      {
          return false;
      }
  }
  protected void btnSubmit_Click(object sender, EventArgs e)
  {
      if (filePhoto.HasFile)
      {
          string fileName = filePhoto.ShortFileName;
   
          if (!ValidateFileType(fileName))
          {
              Alert.Show("無效的文件類型！");
              return;
          }
   
   
          fileName = fileName.Replace(":", "_").Replace(" ", "_").Replace("\\", "_").Replace("/", "_");
          fileName = DateTime.Now.Ticks.ToString() + "_" + fileName;
   
          filePhoto.SaveAs(Server.MapPath("~/upload/" + fileName));
   
   
          labResult.Text = "<p>用戶名：" + tbxUseraName.Text + "</p>" +
              "<p>頭像：<br /><img src=\"" + ResolveUrl("~/upload/" + fileName) + "\" /></p>";
   
   
          // 清空表單字段
          SimpleForm1.Reset();
      }
  }

  

我還是大意了！

可能是發(fā)現(xiàn)這位 ice 很有善意，我居然忘記修改可能已經(jīng)被攻破的管理員密碼。直到晚上我才發(fā)現(xiàn)這回事！

因?yàn)?ice 有把自己設(shè)為了管理員，并發(fā)了一個(gè)帖子告訴我“密碼是12345”，很遺憾我把這個(gè)帖子給刪了，要不然貼出來也博大家一笑！

很無奈的用別人告訴我的密碼 12345 登陸我自己管理的網(wǎng)站，重新把 ice 的所有資料刪除。當(dāng)時(shí)我還不知道 ice 是怎么重新獲取管理員權(quán)限的，郁悶的一屁！

后來通過 Discuz 的日志，我發(fā)現(xiàn)了自己的這個(gè)錯(cuò)誤：

 可以看到如下過程：

1. 早上 10:12，我登陸后將 ice 設(shè)為禁止訪問；

2. 僅僅過去一個(gè)小時(shí) 11::16，ice 用我的賬號(hào)登陸解禁 ice，并將 ice 設(shè)為管理員；

3. 我在晚上 22:24，才發(fā)現(xiàn)這個(gè)問題，并重新刪除 ice 的所有資料。

之后，我修改了所有相關(guān)密碼！ 

結(jié)論

首先是要保證自己的代碼沒有漏洞，涉及用戶輸入和用戶上傳的地方一定要特別注意！

其次是希望每一個(gè)黑客都能向 ice 學(xué)習(xí)，做一個(gè)有道德的黑客（自己爽一把沒關(guān)系，不要破壞別人的數(shù)據(jù)）！
 

最新評(píng)論