标题:请根据描述帮忙分析一下网站数据库被删除原因(谢谢)
只看楼主
rosang
Rank: 1
等 级:新手上路
帖 子:8
专家分:0
注 册:2011-3-8
结帖率:66.67%
已结贴  问题点数:20 回复次数:8 
请根据描述帮忙分析一下网站数据库被删除原因(谢谢)
自己写的sp程序,数据库用的是access,数据库未设密码

但是今早访问时发现数据库里的新闻和产品信息全被删除了(字段分别是news、product)

同时文件夹里的图片也丢失了一部分,其它正常



请问出现这种情况一般是哪方面安全性问题呢?

谢谢指点~
搜索更多相关主题的帖子: 图片 安全性 文件夹 数据库 access 
2011-03-08 08:58
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
得分:5 
项目里的编辑器用的是什么eWebEditor?
access按道理来说注入漏洞的可能性不大
但是个人所知access可以有爆库漏洞,这个漏洞可以让数据库被下载下来。
所以网站的话要从三个方面来查找漏洞
一是,数据库方面
二是,文件上传方面
三是,程序代码方面
LZ数据库管理员密码加密了吗?
2011-03-08 13:56
rosang
Rank: 1
等 级:新手上路
帖 子:8
专家分:0
注 册:2011-3-8
得分:0 
谢谢楼主的解答

编辑器用的是eWebEditor
数据库是用的access,但是未加密
因为是企业网站所以比较简单,只有新闻展示和产品展示,唯一能被网友利用的就是在线留言了,但是在线留言是用的textarea,没有上传功能

程序代码方面,有过滤字段,并且后台的所有页面均有登陆验证,没登陆的情况下,打开所有页面都会跳转到登陆页面(有不足的地方还请指点)

补充:我查看了一下网站的log日志,发现对方是先猜解的后台登陆地址,截取一段对方访问页面的过程:
/admin (不对)
/admin.asp (不对)
/admin/admin_login.asp (不对)
/admin/login.asp (不对)
/login.asp (后面就都猜对了,访问的页面有CSS,有ewebeditor)
/ck_login.asp
/system/
/system/right.asp
……

页面访问顺序1~6秒左右

[url=http://www.]三通球阀[/url]
2011-03-08 21:27
孤独冷雨
Rank: 10Rank: 10Rank: 10
来 自:安徽滁州
等 级:贵宾
威 望:23
帖 子:1246
专家分:1909
注 册:2007-6-4
得分:5 
晕,用eWebEditor你还不把login.asp页面给删了!你删了后再把网站页面文件加上SQL防注入。就没有问题了!

这里有男女系列成人用品,有时间兄弟们来看一看.
51za.
2011-03-08 21:42
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
得分:5 
eWebEditor不仅要删除编辑器的登陆界面,而且这个编辑器自身就存在上传漏洞,还要删除编辑器的文件上传页面
还有就是数据库管理员帐号未加密是非常危险的,因为通过下载数据库就可以知道管理员密码了,登陆网站删除数据轻而易举。
2011-03-08 23:15
rosang
Rank: 1
等 级:新手上路
帖 子:8
专家分:0
注 册:2011-3-8
得分:0 
谢谢两位,ewebeditor是不是只删除文件上传的功能就可以了?其它上传功能可以不删吗?比如图片上传、FLASH动画上传、媒体文件上传..

[url=http://www.]三通球阀[/url]
2011-03-09 03:01
hams
Rank: 12Rank: 12Rank: 12
等 级:贵宾
威 望:18
帖 子:912
专家分:3670
注 册:2008-7-30
得分:5 
应该都是同一个上传程序

俺不高手,俺也是来学习的。
俺的意见不一定就对,当你不认同时请点忽视按钮。
当走到十字路口不知该如何走时,可在论坛问下路,但你若希望别人能一路把你送到目的地,显然是不现实的,因为别人也有自己要走的路。
2011-03-09 08:01
rosang
Rank: 1
等 级:新手上路
帖 子:8
专家分:0
注 册:2011-3-8
得分:0 
请问下是被利用了上传程序上传了exe文件吗?如果不删上传功能只禁止上传exe类型的文件行吗?

[url=http://www.]三通球阀[/url]
2011-03-09 09:36
rosang
Rank: 1
等 级:新手上路
帖 子:8
专家分:0
注 册:2011-3-8
得分:0 
数据库设了密码,ewebditor的上传类型设置为不可上传exe文件
谢谢几位版主`

[url=http://www.]三通球阀[/url]
2011-03-10 14:10



参与讨论请移步原网站贴子:https://bbs.bccn.net/thread-333527-1-1.html




关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.675894 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved