■

單位的某臺服務(wù)器遭到了黑客入侵，黑客對運行在其中的網(wǎng)站進(jìn)行了非法修改，造成了數(shù)據(jù)丟失的情況。幸好之前進(jìn)行了數(shù)據(jù)備份，才恢復(fù)了網(wǎng)站的運行。事后經(jīng)過分析，找到了黑客入侵的通道——原來該網(wǎng)站采取是ASP.NET+MS SQL Server結(jié)構(gòu)，由于開發(fā)者存在疏忽，對黑客防范的安全性不高，致使某些頁面存在注入漏洞，黑客對該網(wǎng)站檢測時，發(fā)現(xiàn)了上述漏洞，通過手工注入猜測或者使用啊D等注入工具，對網(wǎng)站進(jìn)行了滲透，通過數(shù)據(jù)庫差異備份技術(shù)，得到了WebShell接口，通過相應(yīng)的提權(quán)操作，獲得了更大的操作權(quán)限，進(jìn)而控制了整臺服務(wù)器。

黑客入侵手段淺析

我們知道，對于網(wǎng)站來說，所有的數(shù)據(jù)全部存放在后臺數(shù)據(jù)庫中，一般我們使用的是Access或者M(jìn)S SQL Server數(shù)據(jù)庫。注入技術(shù)對后者危害最大，如果該數(shù)據(jù)庫連接用戶的名稱為SA，那么黑客只需借助一個注入點，就可以控制整臺服務(wù)器。即使數(shù)據(jù)庫的連接用戶是DB_Owner，黑客同樣可以或者Web Shell接口。例如，黑客使用數(shù)據(jù)庫差異備份技術(shù)，就可以將ASP木馬上傳到網(wǎng)站中，進(jìn)而獲得WebShell接口，來執(zhí)行各種命令，對網(wǎng)站進(jìn)行更深層次的入侵。例如，對于存在注入漏洞的網(wǎng)址“http：//www.xxx.net/news_list.aspx？typeid=109”來說，黑客使用專業(yè)工具對其進(jìn)行檢測時，就會發(fā)現(xiàn)其存在注入漏洞，并讓黑客獲得訪問數(shù)據(jù)庫的SA權(quán)限或DB_Owner級別權(quán)限。

在本例中，黑客獲得DB_Owner級別的訪問權(quán)限。接下來，黑客會借助工具嘗試列目錄來找到網(wǎng)站物理路徑。能否找到網(wǎng)站的真實路徑，是黑客入侵能夠得手的關(guān)鍵點。當(dāng)獲取實際路徑后，黑客就可以通過數(shù)據(jù)庫差異備份實施入侵了。其慣用手法是先在MS SQL Server數(shù)據(jù)庫中創(chuàng)建一個表，例如訪問網(wǎng)址“http：//www.xxx.net/news_list.aspx？typeid=109’；drop table [tk_tmp]；create table[dbo].[tk_tmp]([cmd][image])”等，然后執(zhí)行數(shù)據(jù)庫備份操作，接著將一句話木馬（例如“<%execute(request(“1”))%>”等，當(dāng)然，實際采取的是其16進(jìn)制格式）插入到預(yù)設(shè)上述創(chuàng)建的表中。最后執(zhí)行數(shù)據(jù)庫差異備份，將備份文件（即ASP木馬文件）存放到指定的路徑中，該路徑位于網(wǎng)站物理路徑之內(nèi)。操作完成后，刪除上述數(shù)據(jù)表（例如訪問網(wǎng)址“http：//www.xxx.net/news_list.aspx？typeid=109’；drop table[tk_tmp]--”），掃除入侵痕跡。黑客接下來使用一句話木馬的客戶端連接預(yù)設(shè)的上述網(wǎng)頁地址，就可以輕松獲得WebShell接口了。

禁止數(shù)據(jù)庫備份，防止黑客入侵

了解了黑客的入侵手段后，對網(wǎng)站相關(guān)文件進(jìn)行修改，就可以堵住非法注入通道。不過，百密必有一疏，面對復(fù)雜的網(wǎng)站結(jié)構(gòu)，難免出現(xiàn)這樣或者那樣的問題。因此，需要禁止黑客利用數(shù)據(jù)庫差異備份技術(shù)，對發(fā)起的網(wǎng)絡(luò)攻擊，才是根本解決之道。要堵住該漏洞，可以采取多種手段，其中最重要的是禁用數(shù)據(jù)庫備份功能，在MS SQL Server企業(yè)管理器中，在其左側(cè)打開“SQL Server組”→“（Local）”→“數(shù)據(jù)庫”項，在窗口右側(cè)顯示數(shù)據(jù)庫列表信息。在和網(wǎng)站關(guān)聯(lián)的數(shù)據(jù)庫右鍵菜單上點擊“屬性”項，在彈出窗口中的“權(quán)限”面板中可以看到，針對不同的用戶/角色，可以控制創(chuàng)建表，創(chuàng)建視圖，備份DB，備份日志等權(quán)限。在默認(rèn)情況下，Public或者其它用戶/角色賬戶擁有全部權(quán)限，這就為數(shù)據(jù)庫安全帶了隱患。因此，選中和網(wǎng)站數(shù)據(jù)庫對應(yīng)的用戶/角色，在其對應(yīng)的“備份DB”，“備份日志”列中點擊，使其出現(xiàn)紅叉標(biāo)記，就禁止了該賬戶上述權(quán)限。我們可以對其測試一下，在MS SQL Server內(nèi)置的查詢分析器選擇網(wǎng)站數(shù)據(jù)庫，執(zhí)行備份指令“declare@a sysname select @a=db_name() backup database @a to disk=’d： k’”，MS SQL Server就會彈出禁止備份的提示信息。

禁止創(chuàng)建表操作，防止黑客上傳木馬

當(dāng)然，如果單純禁用了數(shù)據(jù)庫備份功能，多少顯得有些簡單粗暴。因為作為網(wǎng)管員，是需要經(jīng)常對數(shù)據(jù)庫進(jìn)行備份的。如果禁用了備份功能，恐怕就連網(wǎng)管員自己也無法備份了。根據(jù)對黑客入侵手段的分析，不難看出黑客必須先在數(shù)據(jù)庫中創(chuàng)建一個臨時數(shù)據(jù)表，才可以打開入侵的通道?！癈reate Table”是創(chuàng)建數(shù)據(jù)表必須用到的命令。如果禁用了數(shù)據(jù)表創(chuàng)建動作，黑客就無計可施了。而且這對網(wǎng)站運行沒有任何影響，因為在網(wǎng)站創(chuàng)建時，的確需要創(chuàng)建各種數(shù)據(jù)表，但是網(wǎng)站運行成功后，基本就不再創(chuàng)建數(shù)據(jù)表。當(dāng)然，如果對網(wǎng)站進(jìn)行升級的話，涉及到新表的創(chuàng)建，還是需要使用該操作的。根據(jù)以上操作，在MS SQL Server企業(yè)管理器中打開對應(yīng)數(shù)據(jù)庫的屬性窗口，在“權(quán)限”面板中選擇和網(wǎng)站數(shù)據(jù)庫對應(yīng)的用戶/角色賬戶，在其對應(yīng)的“創(chuàng)建表”列中點擊，使其出現(xiàn)紅叉標(biāo)記，禁用創(chuàng)建表的權(quán)限。之后在在MS SQL Server內(nèi)置的查詢分析器選擇網(wǎng)站數(shù)據(jù)庫，執(zhí)行諸如“Create Table Tktmp（Tkname nvarchar（200））”等命令創(chuàng)建數(shù)據(jù)表時，MS SQL Server就會提示拒絕創(chuàng)建數(shù)據(jù)表操作。

創(chuàng)建NoDown表，禁止非法訪問

禁用了數(shù)據(jù)表的創(chuàng)建操作，并不能高枕無憂。因為黑客對網(wǎng)站的探測是全方面的，前面已經(jīng)談到，黑客執(zhí)行數(shù)據(jù)庫差異化備份獲得WebShell的關(guān)鍵是取得網(wǎng)站的物理路徑，如果黑客通過別的手段獲得了網(wǎng)址物理路徑，并探測到數(shù)據(jù)庫中表和字段信息，完全可以將一句話木馬插入到某個表的某個字段中，然后進(jìn)行數(shù)據(jù)庫備份，同樣可以達(dá)到目的。例如，可以在查詢分析器中執(zhí)行“insert into [table](ziduan)value (0x一句話木馬的16進(jìn)制代碼))”等語句，可以看到成功的將一句話木馬插入到了某個表的指定字段中。接著黑客會使用“Backup Database”命令備份網(wǎng)站數(shù)據(jù)庫，之后通過瀏覽器訪問備份出來的ASP文件，同樣可以獲得WebShell。該如何防御這種入侵伎倆呢？

我們可以借助于在數(shù)據(jù)庫中創(chuàng)建“nodown”表的辦法來應(yīng)對。在查詢分析器中執(zhí)行“Create Table [dbo].[nodown]([tkqwe] image)；Insert into[dbo].[notdown](tkqwe)value(0x3C25)” 命 令，就 在網(wǎng)站數(shù)據(jù)庫中創(chuàng)建了名為“nodown”的數(shù)據(jù)表，在其中包含“tkqwe”字段，其類型為“image”，并在其中插入了“0x3c25”的數(shù)據(jù)，“3c25”就是“<%”的十六進(jìn)制內(nèi)容。

為了防止黑客隨意操作該表，需要在MS SQL Server的企業(yè)管理器中選擇網(wǎng)站數(shù)據(jù)庫，在“表”對象中選擇該數(shù)據(jù)表，在其屬性窗口中點擊“權(quán)限”按鈕，在彈出窗口中針對目標(biāo)用戶/角色賬戶，禁用所有的操作命令，包括Select，Insert，Update，Delete 等。 接著重復(fù)上述測試操作，將一句話木馬插入到某個表中的某個字段中，然后將數(shù)據(jù)庫備份到網(wǎng)站指定路徑中，得到包含ASP木馬的ASP文件。當(dāng)客戶端使用瀏覽器訪問該ASP文件時，就會出現(xiàn)“編譯器錯誤，缺少語句”等信息。類似的，使用差異備份方式，執(zhí)行一句話木馬的插入和備份操作，在客戶端訪問木馬是同樣出現(xiàn)上述錯誤提示，讓黑客無法獲得WebSHell。

其實，上述技術(shù)同樣適用于Access數(shù)據(jù)庫，在基于ASP+Access結(jié)構(gòu)的網(wǎng)站中，管理員最擔(dān)心的是黑客暴庫技術(shù)，直接下載Access數(shù)據(jù)庫，這樣網(wǎng)站幾乎沒有秘密可言。為了防止非法下載數(shù)據(jù)庫，可以在Access數(shù)據(jù)庫中創(chuàng)建名為“notdown”的數(shù)據(jù)表，其中的字段類型為“OLE對象”，內(nèi)容就是“0x3c25”。按照ASP的語法特點，如果存在“<%”而沒有對應(yīng)的“>%”，在運行ASP文件時就會出現(xiàn)錯誤。這樣就可以保護(hù)Access數(shù)據(jù)庫不被非法卸載了。根據(jù)以上分析，通過采用創(chuàng)建“nodown”數(shù)據(jù)表，可以堵住數(shù)據(jù)庫備份或者差異備份所產(chǎn)生的漏洞。禁用數(shù)據(jù)庫的“Create table”命令，可以禁止創(chuàng)建數(shù)據(jù)表，防止黑客讀取磁盤目錄獲得網(wǎng)站真實路徑。禁用數(shù)據(jù)庫的“備份日志”功能，可以屏蔽和數(shù)據(jù)庫備份有關(guān)的漏洞。將上述三點聯(lián)合起來使用，黑客就無法通過數(shù)據(jù)庫備份技術(shù)來創(chuàng)建WebShell了。