软件简介:
$ T, c) c2 v' ^/ P+ ]$ h Q(注意:本教程配有语音,请打开您的音响,并且使用1024*768或以上的屏幕分辨率来观看!): j* g) B L' x/ x! N
本次动画教程主题: 站长的安全利剑
8 x' `2 i6 }; ^制作时间:2007年10月21日 制作人:甲面将军 QQ:121813720
, i" ]- C7 J8 W- m6 I% [* R! a需要用到的软件:safe3-安全伞! N) O& A; S4 l0 i5 }
演示环境:windows xp sp2操作系统' O% I; S/ J R& }6 p. u
1 G: K( L; k- v) J$ i- \) A$ N
虽然现在已有防火墙、杀毒、入侵检测等安全防范手段,但防火墙对Web入侵基本没有作用,杀毒软件更是对变形webshell显得无力,SQL注入稍微变形就可绕过传统IDS,由此导致的网页被篡改或挂马屡见不鲜。目前专门针对Web安全的工具还很少,而像中国中央政府门户网站所使用的iGuard网页防篡改系统又贵的惊人,由此诞生了一款任何人都用得起的轻量级实用的反黑工具-安全伞。
; S [9 {" E2 B$ q1 D一但发现黑客入侵就可立刻采取措施。同时集成了多种实用功能,让网站管理变得更加轻松。
' N5 K9 ~( T1 X. W/ {( B# a运行环境:7 @( D8 l: O' }! I2 q: a* S
运行此软件需安装Microsoft .NET Framework 2.0, D7 W$ H! x- A4 c
对用户来说,就是一个组件,如果你碰上用.net语言开发的软件,那就必须先装上这个东东,才能使用软件。目前越来越多的软件运行要依赖于它了。 对开发者来说,它是一个庞大的类库。
. X, I/ u( g! _) L- X" C n: l" V下载地址:http://dl.pconline.com.cn/html_2/1/82/id=10637%
, C6 ?7 ]$ b8 @3 R'Copyright by Bluer 2006
: v1 g# U5 }7 ~1 hResponse.Buffer = True; m8 R/ s' B5 _# N& K# a
On Error Resume Next
! T7 k$ i7 H3 e2 [+ E%@ LANGUAGE=VBScript CodePage=936%
' h/ [0 N% U0 c* e- ~%$ c/ |5 L8 n3 i9 \' j/ r" X" B
Option Explicit
+ E! O6 d' v2 {$ q0 r8 O6 j$ f- J3 ZDim Startime,Endtime
- o1 ~) F! {" s4 T, Y. A! j/ \Dim Dvbbs, MyCache
! T$ t+ j6 M- _$ w' \0 ]0 [Dim SqlNowString,Conn4 {6 E4 P5 C0 x6 N
'定义数据库类别,1为SQL数据库,0为Access数据库
! n/ s; p* y2 o, i& I/ hConst IsSqlDataBase=0
' \6 G! k* p0 Z* R1 b3 b'论坛缓存名称,如果一个站点有多个论坛请更改成不同名称
( n; B& P* c6 V; j, _8 mConst Forum_CacheName=aspsky
1 |; _' M, g% l6 b( x) G1 [; a. YConst Forum_EnableCacheDatabase=18 t: r% H' X6 U" w0 X) e1 G* M
Startime=Timer()
% [' n( _% C3 Z5 _Dim plus_name,Plus_Setting% D2 [- u, j k+ } k4 r1 @+ ^
plus_name=
% P& ]4 k1 W$ d# p& C$ x+ U) p$ ]Set Dvbbs=New Cls_Forum3 z' p4 ]9 A z( x' v6 _0 a
Set MyCache=New Cache
. m0 d1 Y3 ^+ n. z# F9 KSub ConnectionDatabase
2 W) s+ d6 B- }0 U% x3 @9 K1 SDim ConnStr
2 I& N n+ M% H9 x6 \# g9 ZIf IsSqlDataBase=1 Then. G! t& F1 r4 Q A
SqlNowString=GetDate()# ?0 H; H7 X% l. n
'sql数据库连接参数:数据库名、用户密码、用户名、连接名(本地用local,外地用IP)
: q; c* v, H }5 r3 J7 @Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName: Z1 i- K+ m/ a' m+ f% n
SqlDatabaseName=
; i7 c: y% S/ c) |SqlPassword=
& F3 C9 A, u! h3 m5 F/ `SqlUsername=sa
) Y/ a6 G" `% l+ B4 aSqlLocalName=(local)
! n+ i- B1 f5 PConnStr = Provider=Sqloledb; User ID= ; Password= ; Initial Catalog = ; Data Source= ;; x" ~5 \+ E+ g9 c
Else; P7 f) B# @, v+ e5 \% u
SqlNowString=Now()
# p* y! ?$ B, M, L# j' eDim Db
B& D& M1 o6 A: X) B8 Z'免费用户第一次使用请修改本处数据库地址并相应修改data目录中数据库名称,如将dvbbs6.mdb修改为dvbbs6.asp# @$ d e7 h4 D- `* c
Db=data/dvbbs6.mdb
* K; n4 y" }2 GConnStr = Provider=Microsoft.Jet.OLEDB.4.0;Data Source= ADODB.Connection)
) y+ g" T# f% r- {conn.open ConnStr4 Q" p/ `9 n* ?
If Err Then
" i( F4 _- c- O1 i5 {) K3 j T! M0 Xerr.Clear
; V( n3 V& E) }; R$ LSet Conn = Nothing
5 w' _6 r- ?; j) z+ n7 qResponse.Write 数据库连接出错,请检查连接字串。
) T6 o* { o$ W7 B. S/ @Response.End, K- L! E( t0 {& s9 _
End If
- {5 |/ n$ |7 o, w/ D" {End Sub v4 e$ s" d* c! c1 c! u
Sub CloseDatabase
3 q5 u9 k& C9 C5 c) uEnd Sub% i( z5 N; i( n
%. D; I% N# W, U u# N
If Err.Number 0 Then
( E& x3 k2 F P: W Response.Clear
( R, \/ w7 n8 @ Select Case Err.Number
; {7 |% w2 f' P- n Case 0
5 j- w1 W; `, _5 O Case Else
2 O2 ?0 F8 ]2 ~$ M& s, ~ - C/ y) h$ A! y# H( N! d$ A R# M
If IsObject(conn) Then
! H% N, f% X9 A, E If conn.Errors.Count 0 Then + M( }* o* P& W
Dblog=Database Error:
) z4 r/ o! R5 T/ n; A1 n7 X For intLoop = 0 To objConnection.Errors.Count - 1
. C) g* a9 ]9 }9 n- R, e ( C2 v" G! U# i8 H( u5 _
Dblog=Dblog + Error No: + conn.Errors(intLoop).Number + |
& Q9 N4 y/ A a Dblog=Dblog + Description: + conn.Errors(intLoop).Description + |0 @% h2 q$ w8 J
Dblog=Dblog + Source: + conn.Errors(intLoop).Source + |
$ N4 W- k; m3 v' X Dblog=Dblog + SQLState: + conn.Errors(intLoop).SQLState + | : ]- m- w3 d& }! I' o
Dblog=Dblog + NativeError: + conn.Errors(intLoop).NativeError + |
, a9 E: ?: h' A* {" b Next * f+ I+ q2 e( p1 O0 L3 W
slog(Dblog)" D/ o' z9 h. ^$ f2 v8 E. ~, { F
End If
0 p8 Y2 G0 `1 m0 [+ m) I& Q End If
$ g8 E. A0 k& i* o, X If Err.Number 0 Then
0 u+ J' R0 q0 h/ i
4 b7 |9 U: @# }! b& ? Plog=age Error:
9 a9 t" i8 M4 \! [8 ? Plog=Plog+Error Number + Err.Number + | " h; \7 S7 }; f' M
Plog=Plog+Error Description + Err.Description + | ! u2 P* t: l& y) Z" X
Plog=Plog+Source + Err.Source + |3 r8 w4 c+ {1 _$ L2 f8 O
Plog=Plog+LineNumber + Err.Line + | l( _3 g6 A) w1 G% d
slog(Pblog) / W! [1 \+ `' y) C ]. D" |- y& u7 ]$ l
End If 6 y7 I& l0 ~! K% b9 r/ j
Response.Redirect /XXX.htm0 |5 K* i1 C) u S: t0 j3 q* Z/ {
End Select
4 ^+ _$ a' o1 X% B( `( w& n, _7 \ Err.Clear
! q; P/ r! G. v6 I, _+ X. H# P8 ~7 IEnd If
8 w/ s' f2 k! M+ ]$ w$ Bif request.querystring then stopinjection(request.querystring)5 z7 L0 M: Q+ l; v8 {
if request.cookies then stopinjection(request.cookies)
/ V0 E& C/ m* R) H( d/ {function stopinjection(values)
: K O- F7 [4 B1 rfor each n_get in values
% K; _! ?2 G9 V, x/ _+ O. B! F" Q. I/ T dim l_get, l_get25 m+ l- ]+ w8 [: U( U" M0 H8 x
for each l_get in values
. [$ E: y* N: ]. X" |- B! x2 B; P l_get2 = values(l_get)
3 \8 @$ y& f8 B3 v& F4 r7 D" R set regex = new regexp
6 A3 {7 l a( j! X6 |( |$ H8 k regex.ignorecase = true C5 |6 ~& M& H; y; C3 F" X0 Q
regex.global = true: x0 j. d' V. Q
regex.pattern = (\sunion\s|\sor\s|\sand\s|/\*|'|;|--|\sdeclare\s|\bselect\b|\bupdate\b|\binsert\b|\.\./|\.\.\\) 2 k" N) V& D$ d9 v* E( Q- H
if regex.test(l_get2) then' k# \* d/ X, s
/ C" m9 X/ h0 W! |- v- P
sURL=server.htmlencode(lcase(http://+Request.ServerVariables(HTTP_HOST)+Request.ServerVariables(SCRIPT_NAME)+?+Request.ServerVariables(QUERY_STRING)))
7 F$ v! x* U" r IP=server.htmlencode(Request.ServerVariables(HTTP_X_FORWARDED_FOR))
2 a' @; z, [, Z( H+ | If IP = Then
% a, P8 S* A( T4 L2 ^0 [ IP=server.htmlencode(Request.ServerVariables(REMOTE_ADDR))
. F/ }% }! s: a# e0 E$ _ end if* |, b" \3 N/ s5 ~
, Z# q' `) u$ E% d! C* G slog(brIllegal operation IP: Illegal operation code: Illegal operation time: HTTP_X_FORWARDED_FOR))2 x8 g+ ?4 J: l/ z
If IP = Then
$ K: b$ U; z+ M1 G% A) y IP=server.htmlencode(Request.ServerVariables(REMOTE_ADDR))
' }- W5 F# ~ h4 M' J end if0 N0 j, _/ Z& W# ~: m1 d
Response.Write System automatically holds up illegal operation code!QUERY_STRING))Your true IP isscriptalert(' System automatically holds up illegal operation code,records your illegal operation!');location.href='http://+Request.ServerVariables(HTTP_HOST)+/XXX.htm))';/script' {& h$ a3 k2 P& K/ o5 k$ @
Response.end
$ A, [5 ^; U( Gend sub+ _$ }' ^8 X* \+ ]
sub slog(logs)
# S: D. O! U! ` B# E toppath = Server.Mappath(log.htm)4 ^2 ?4 h( u. o" X- _, W/ J! d
Set fs = CreateObject(scripting.filesystemobject)9 [' ~/ m$ d5 p3 y6 b! w" d$ |
If Not Fs.FILEEXISTS(toppath) Then / o2 U# ` ? U8 o
Set Ts = fs.createtextfile(toppath, True)
7 V# F. n+ p% Z3 ~" \ Ts.close9 \5 j( }8 I. m
end if/ n# F! D0 Y {9 y8 H
Set Ts= Fs.OpenTextFile(toppath,1)
$ X( M- c1 G! Y7 M Do While Not Ts.AtEndOfStream7 [! E* J1 P* O
Errorlog = Errorlog / M G. v" r/ g+ G# q% Y
下面是检测到攻击跳转的页面XXX.htm. j U% c" W! n* d) x7 \
head/ Y% ]8 o) }$ Z. w% c. E) @
meta http-equiv=Content-Type c /) n- X X {5 L
title/title* f# b" X* W6 s+ s
style type=text/css
9 X1 n% I2 `. `7 k) J" o" ^!--- B/ p* S6 t3 n! [1 J2 `
body,td,th {font-size: 9pt;line-height:14px;}
9 k6 [0 N! V! V* K.zi_1{color:#f10c01;}
9 j# P, e$ F$ ? F# a--
$ {$ k0 {# d+ g5 J) _, _2 U/style
$ W5 ^0 k/ o+ G/head
5 Q, v5 w2 _/ T! |. l3 R; Pbody E' i! n7 Y2 W
table width=100% height=100% border=0 cellpadding=0 cellspacing=0
: R4 E' B. Y9 v( D% d; \8 z tr
- \8 ?0 n& i/ K/ c9 z% G td valign=middletable width=347 border=0 align=center cellpadding=0 cellspacing=01 U' w- c5 i# o6 d0 k
9 O% s9 R0 n1 c- E% ~) V9 O tr g; W* F( S4 {
td您访问的地址不存在或已更改。br
$ y* f% [0 M! j1 L. C: | 系统将在 span class=zi_11/span 秒钟内返回首页,如无响应,请单击下面按钮span class=zi_1返回
+ v r% A0 } S5 d a href=http://www.3800hk.com//a/span/td3 \, o/ j4 D4 Q
/tr1 g8 G+ `5 G \4 S2 l9 \& Q4 U
- M$ g" ^* G5 w2 v
/table/td8 i# Z4 x# W: Z4 Q
/tr. V# E+ z# E' W
/table$ H* Y4 x; {: q! Q
script language=JavaScript
" H/ x5 g1 `8 f( VsetTimeout(top.window.location='http://www.3800hk.com/';,3000);2 u7 S0 L. r% K. V5 _
/script! Y# o4 n7 }: y
/body: O- v8 h5 W5 e
/html; D) ^3 [( |$ v8 v. E# m
使用方法; A" U' j' s5 n' ?9 z2 k4 u7 `
找到网站下面包含Server.CreateObject(ADODB.Connection)的asp文件,一般为conn.asp: @( j% f& o/ }/ v" Y/ S
将上面原数据库连接代码放在这里(比如conn.asp的代码)的地方用conn.asp里面的代码替换,保存为新的conn.asp,运行发现攻击后会在当前目录下生成一个log.htm的文件,该文件记录了黑客的非法操作和ip地址,请将XXX.htm这个文件放于网站根目录下,发现攻击后会跳转到该页,其中的网址大家改成自己的!- a" M6 C$ `, H# g7 z; ^/ c5 R
下载地址:
|
最新整理Linux手工服务端_末世策略塔防手游
