如何检测网站漏洞和后门及如何预防攻击

如何知道您的网站有没有漏洞呢？近来很多网站受到了各种各样形式的攻击，黑客攻击和入侵的动机各不一样，黑客人攻击的目标也有不确定性，作为一家企业的网管、或CEO，您是否担心您的网站也遭受同样的命运呢？

普通的黑客主要通过上传漏洞、暴库、注入、旁注等几种方式入侵近7成网站的。当然，还有更高级别的入侵行为，有些黑客为寻找一个入侵点而跟进一个网站好几个月的情况也是有的。我们先重点看看这些容易被黑的网站。

1、上传漏洞

这个漏洞在DVBBS60时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

温馨提醒：

大多网站的程序都是在公有的程序基础上修改的，程序总会存在漏洞。聪明的网站管理员应该学会熟练的掌握以上工具，时常关注自己web程序最新的漏洞。并使用上述工具进行自我检测，以确保网站安全。

2、暴库：

许多站点有这个漏洞可以利用。非常危险！

温馨提醒：

数据库始终是黑客最感兴趣的东西。数据库安全性却不是每个程序员在编程的时候能全面考虑到的。应该在上线后，找专业的安全公司进行测试数据库渗透测试，以确保数据库安全。

3、注入漏洞：

这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。

温馨提醒：

大型公司的网站应该找懂安全编程的高级程序员来进行，并且开发上线后，应该请专业公司进行安全性测试。以确保程序安全、可靠！

4、旁注：

我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等方法来入侵我们要入侵的站点。

温馨提醒：

大型公司的网站，最好可以自己拥有独立的服务器。并做好服务器安全设置，可利用禁用端口，限制登录IP，及时打好补丁等方式来保障服务器的安全。

一、网站攻击第一种：破坏数据攻击          这种攻击可能会对造成较大的影响，甚至可能让网站所有者蒙受较大的损失，也是非常卑鄙的一种手段，同时也属于一种网络违法行为。以前的一些大型网站发生的用户名和密码被**，很可能就是由于这种攻击所致。比较常见的SQL注入就属于这种攻击，专门破坏和攻击数据服务器。有的会把网站上的网页替换掉，还有的会修改网站上的网页，给网站带来很大的困扰。

二、网站攻击第二种：挂马或挂黑链          这种攻击危害程度不是很大，但也不容忽视，一旦你的网站被挂上木马和黑链接，你的网站在打开时将很不正常，不是网页内容被修改，就是网页连带打开很多窗口等，这样的网站都属于被攻击所致。搜索引擎一旦检测数你的网站被挂马，就可能给你的网站降权性惩罚，严重的甚至被K掉。

三、网站攻击第三种：网络流量            这种攻击就是我们常听说的CC攻击，有两种像是的流量攻击，即带宽攻击和应用攻击，我们平时所将的流量攻击通常指的是带宽攻击，这是攻击网站的一个最常见的手段之一。这种攻击手段一般是采用大量数据包淹没一个或多个路由器、服务器和防火墙，网络带宽几乎被占用殆尽，使你的网站无法访问，处于瘫痪状态无法正常打开。

四、解决办法

购买网站安全增值服务产品，这样也可抵御大规模的攻击，比如高防CDN可以很好的解决网站被攻击的问题，还可以加快网站的访问速度。最主要的是可以隐藏源服务器IP，从而让攻击者无从下手

ping：通过ICMP回应/回复报文检查远端主机的端到端连接性（RTT延时，抖动，丢包）。用来检查系统状态和可连接性很不错

hping：网络扫描和检测工具，可以产生ICMP / TCP / UDP ping数据包。常常用于高级端口扫描，防火墙测 试验，手动MTU路径发现和碎片测试traceroute

：通过TTL限定的ICMP / UDP / TCP侦测包来发现从本地主机到远端目标主机之间的第三层转发路径。用来调试网络连接性和

路由问题mtr：traceroute的一个变种，能根据运行时统计数据整理出每一跳的包丢失/动作。用来评估路由路径延时很不错netcat

/ socat：TCP / IP网络里的瑞士军刀，可以读/写TCP / UDP协议字节流。用来调试防火墙策略和服务可用性很不错dig

：DNS调试工具，可以生成正向查询，反向查询，搜索域名服务器，检查CNAME，MX及其他DNS记录。可以在侦错的时候查询特定的DNS服务器nslookup

：另外一个DNS检查/调试工具。支持所有DNS查询和记录。可以查询特定DNS服务器。

dnsyo：一个DNS测试工具，通过对全世界1500个不同网络中的大量开放解析器执行DNS查询来测试DNS传输lsof

：显示进程打开的文件信息（例如，普通文件，管道或套接字）。用来监视网络连接很不错

iftop：一个基于ncurses的命令行界面应用，可以实时监视各个网络物理接口上的网络连接和带宽占用。用来记录霸占带宽的应用，用户，目的地和端口等很不错

netstat：一个网络统计工具，可以显示状态以及统计信息，当前网络连接（TCP / UDP端口，IP地址），路由表，TX / RX流量以及网络协议。用来做网络相关诊断和性能调试很不错

tcpdump：一个常用的基于libpcap抓包库的包侦测工具。可以按伯克利包过滤器格式定义抓包条件

tshark：另一个命令行抓包工具，和它的GUI版本Wireshark完全兼容。支持1000种协议而且这个列表还在增加。用来调试，分析和保存实时 。络封包信息很不错

的ip：。一个多功能的命令行网络工具，是iproute2的包的一部分可以检查和修改路由表，网络设备状态以及IP隧道设置用来查看路由表，增加/删除静态路由，配置网络接口，以及调试路由问题很有用ifup

/ ifdown：用来激活和关闭特定的网络接口。经常用于重启整个网络服务autossh

：一个能建立SSH连接并在断线后自动重新连接的程序。用来创建长时间保持的穿越严格企业网络的SSH隧道很有用iperf

：一个网络测试工具，通过在发送自定义TCP / UDP数据流来衡量主机间双向最大吞吐量

elinks / lynx：为基于命令行的服务器环境下使用的基于文字的网页浏览器。

安全工具

iptables的：一个用户空间下的命令行工具，用于配置Linux的内核防火墙可以创建和修改的Linux内核空间的网络包接收，转发和发送规则。

NMAP：一个常用的为了安全审查目的的端口扫描和网络发现

TCP包装：一个主机端的网络访问控制列表工具，可以过滤进入/出去的网络请求/ 工具。用来在本地网络回复经常配合iptables的一起使用，作为额外一层安全保护。

getfacl的说明书/ setfacl的：查看和定制文件和目录的访问控制列表，作为传统文件权限的扩展。

cryptsetup：用于创建和管理LUKS加密磁盘分区

lynis ：一个命令行的漏洞扫描工具。可以扫描整个Linux系统，并汇报潜在的漏洞以及相关可能解决方案

maldet：一个恶意软件扫描命令行工具，可以检测和隔离潜在的感染文件。可以在后台运行长期监 。

rkhunter / chkrootkit的：一个命令行工具，可以扫描本地系统里的潜在木马，隐藏后门和可疑利用，并禁用它们。

存储工具

的fdisk：一个磁盘分区编辑工具用于查看，创建和修改本地磁盘或可移动磁盘的分区

sfdisk：fdisk的一个变种，能用一种非交互的方式访问或更新磁盘分区表。用来自动化备份和恢复过程中的磁盘分区很有用

parted：另一个磁盘分区编辑器，支持超过2TB的磁盘的GPT（GUID分区表）格式gparted是parted的一个前端GTK +图形界面df

：用来查看不同分区或文件路径的已用/可用存储空间和挂载点。还有一个更易用的变种DFC。

du：用来查看不同文件和目录的当前磁盘占用情况（例如，du -sh ）。

mkfs：一个磁盘格式化命令，用来在独立磁盘分区上建立文件系统。有多个文件系统相关的版本：ext2，ext3，ext4，bfs，ntfs，vfat /

fatfsck：一个命令行工具，用来检查文件系统错误并尝试可能的修复。通常在启动时自动运行，但是在卸载一个分区后也可以根据需要手动运行

mount：用来映射一个物理磁盘分区，网络共享或远程存储到一个本地挂载点。任何对挂载点里的读/写 *** 作都是对应实际存储的实际数据读/写

mdadm ：一个命令行工具，用来管理物理块设备上的软件RAID设备。可以创建，构造，增长或监视RAID阵列lvm

：一套命令行工具集，用来管理卷分组和物理/逻辑卷，可以。用最小的停机时间在多个物理磁盘上创建，调整大小，状语从句：拆分合并卷

日志访问工具

尾：用来查看一个（长中的）日志文件的尾部有几个变种，包括multitail（多窗口查看）和ztail（支持的inotify和正则表达式过滤以及颜色）。

logrotate的：一个命令行工具，可以在根据设定的时间段拆分，压缩并通过邮件发送旧的/大的日志文件。用来管理可能产生大量日志文件的繁忙主机很有用grep

/ egrep：可以通过特定的模式或正则表达式过滤日志内容。变种包括用户更友好的ack和速度更快的agawk

：一个多功能的文本扫描和处理工具。常用于从文本/日志文件中找出特定的列或内容，并输出给其他工具sed

：一个文本流编辑工具，可以过滤和改变（例如，删除行/空格，替换/转换单词，增加计数）文本流并通过管道连接到标准输出/标准错误或者其他工具。

备份工具

rsync：一个快速的单向增量备份和镜像工具（常规于复制一个数据仓库到线下存储，可以选择通过SSH或stunnel的加密连接

rdiff-backup ：另一个有效利用带宽的增量备份工具diplicity

：一个加密的增量备份工具。使用GnuPG加密备份，并通过SSH上传到远程服务器。

性能监视工具

top：一个命令行的进程查看程序。可以监视系统负载，进程状态，CPU和内存占用。有一个更易用的变种htop。ps

：显示系统所有运行中进程的一个快照。输出可以定制成显示PID，PPID，用户，负载，内存，积累的用户/系统时间，启动时间，以及更多。有一个变种pstree可以用树结构显示进程

nethogs：一个带宽监视工具，按进程来分组显示活动网络连接，实时汇报 -个进程占用的（上传/下载）带宽

ngxtop：一个网页 服务器访问日志解析和监视工具，界面受到了top命令启发。它可以实时汇报整理过的页面请求列表，包括频率，大小，>

一、SQL 注入漏洞

SQL 注入攻击（ SQL Injection ），简称注入攻击、SQL 注入，被广泛用于非法获取网站控制权， 是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL 指令的检查，被数据库误认为是正常的SQL 指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

通常情况下， SQL 注入的位置包括：

（1）表单提交，主要是POST 请求，也包括GET 请求；

（2）URL 参数提交，主要为GET 请求参数；

（3）Cookie 参数提交；

（4）>

（5）一些边缘的输入点，比如mp3 文件的一些文件信息等。

SQL 注入的危害不仅体现在数据库层面上， 还有可能危及承载数据库的 *** 作系统；如果SQL 注入被用来挂马，还可能用来传播恶意软件等，这些危害包括但不局限于：

（1）数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。作为数据的存储中心，数据库里往往保存着各类的隐私信息， SQL 注入攻击能导致这些隐私信息透明于攻击者。

（2）网页篡改：通过 *** 作数据库对特定网页进行篡改。

（3）网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。

（4）数据库被恶意 *** 作：数据库服务器被攻击，数据库的系统管理员帐户被篡改。

（5）服务器被远程控制，被安装后门。经由数据库服务器提供的 *** 作系统支持，让黑客得以修改或控制 *** 作系统。

（6）破坏硬盘数据，瘫痪全系统。

解决SQL 注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。通常使用的方案有：

（1 ）所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL 语句中。当前几乎所有的数据库系统都提供了参数化SQL 语句执行接口，使用此接口可以非常有效的防止SQL 注入攻击。

（2 ）对进入数据库的特殊字符（ '"\<>&; 等）进行转义处理，或编码转换。

（3 ）确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为int 型。

（4）数据长度应该严格规定，能在一定程度上防止比较长的SQL 注入语句无法正确执行。

（5）网站每个数据层的编码统一，建议全部使用UTF-8 编码，上下层编码不一致有可能导致一些过滤模型被绕过。

（6）严格限制网站用户的数据库的 *** 作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。

（7）避免网站显示SQL 错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

（8）在网站发布之前建议使用一些专业的SQL 注入检测工具进行检测，及时修补这些SQL 注入漏洞。

跨站脚本攻击（ Cross-site scripting ，通常简称为XSS）发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。XSS 攻击使用到的技术主要为HTML 和Javascript ，也包括VBScript和ActionScript 等。XSS 攻击对WEB 服务器虽无直接危害，但是它借助网站进行传播，使网站的使用用户受到攻击，导致网站用户帐号被窃取，从而对网站也产生了较严重的危害。

XSS 类型包括：

（1）非持久型跨站： 即反射型跨站脚本漏洞， 是目前最普遍的跨站类型。跨站代码一般存在于链接中，请求这样的链接时，跨站代码经过服务端反射回来，这类跨站的代码不存储到服务端（比如数据库中）。上面章节所举的例子就是这类情况。

（2）持久型跨站：这是危害最直接的跨站类型，跨站代码存储于服务端（比如数据库中）。常见情况是某用户在论坛发贴，如果论坛没有过滤用户输入的Javascript 代码数据，就会导致其他浏览此贴的用户的浏览器会执行发贴人所嵌入的Javascript 代码。

（3）DOM 跨站（DOM XSS ）：是一种发生在客户端DOM （Document Object Model 文档对象模型）中的跨站漏洞，很大原因是因为客户端脚本处理逻辑导致的安全问题。

XSS 的危害包括：

（1）钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者注入钓鱼JavaScript 以监控目标网站的表单输入，甚至发起基于DHTML 更高级的钓鱼攻击方式。

（2 ）网站挂马：跨站时利用IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上，或者d出恶意网站窗口等方式都可以进行挂马攻击。

（3）身份盗用： Cookie 是用户对于特定网站的身份验证标志， XSS 可以**到用户的Cookie ，从而利用该Cookie **用户对该网站的 *** 作权限。如果一个网站管理员用户Cookie 被窃取，将会对网站引发巨大的危害。

（4）**网站用户信息：当能够窃取到用户Cookie 从而获取到用户身份使，攻击者可以获取到用户对网站的 *** 作权限，从而查看用户隐私信息。

（5）垃圾信息发送：比如在SNS 社区中，利用XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

（6）劫持用户Web 行为：一些高级的XSS 攻击甚至可以劫持用户的Web 行为，监视用户的浏览历史，发送与接收的数据等等。

（7）XSS 蠕虫：XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS 攻击等。

常用的防止XSS 技术包括：

（1）与SQL 注入防护的建议一样，假定所有输入都是可疑的，必须对所有输入中的script 、iframe 等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括>

（2 ）不仅要验证数据的类型，还要验证其格式、长度、范围和内容。

（3）不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。

（ 4）对输出的数据也要检查， 数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等 *** 作，在各处的输出点时也要进行安全检查。

（5）在发布应用程序之前测试所有已知的威胁。

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。设置密码通常遵循以下原则：

（1）不使用空口令或系统缺省的口令，这些口令众所周之，为典型的弱口令。

（2）口令长度不小于8 个字符。

（3）口令不应该为连续的某个字符（例如： AAAAAAAA ）或重复某些字符的组合（例如： tzftzf ）。

（4）口令应该为以下四类字符的组合，大写字母(A-Z) 、小写字母(a-z) 、数字(0-9) 和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。

（5）口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关的信息，以及字典中的单词。

（6）口令不应该为用数字或符号代替某些字母的单词。

（7）口令应该易记且可以快速输入，防止他人从你身后很容易看到你的输入。

（8）至少90 天内更换一次口令，防止未被发现的入侵者继续使用该口令。

从你发布的可以看出，你网站已经被人种下的后门程序

1先将templets 模板文件下载到本地，用批量替换工具将挂的黑链替换，并检查templets 模板有没有后门程序，如：php 为后缀结尾的，你都分析下，里面很有可能隐藏后门程序。

2对uploadfile 程序进行备份，下载到本地，检查有没有php 为后缀结尾的 并分析

3对数据库进行备份，并将备份下载到本地

4对整个程序进行备份，并下载到本地

5删除服务器上的整个网站，在dede官方，下载一个与你程序一致的版本，上传到服务器，并重新安装

6将 检查后的 ：数据库，和 uploadfile 和 templets 上传覆盖 服务器

完成以上步骤后 挂的连接 已经被清楚，包括后面程序也被清理。

第一步信息收集（敏感目录文件、whois信息、旁注、端口开放、iis几、）

第二部漏洞挖掘（web应用指纹、漏洞有那些xss、CSRF、XSIO、SQL、任何文件读取、上传、之类的）

第三步漏洞利用（目的思考、利用漏洞拿到相关权限、然后提权）

再之后就是提权拿服务器、然后创建隐藏账户、然后擦痕迹、

以上就是关于如何检测网站漏洞和后门及如何预防攻击全部的内容，包括:如何检测网站漏洞和后门及如何预防攻击、常见的网站遭攻击方式有哪些、在地址为192.168.1.44的主机上,要检查到另一台主机的端到端连接性,可通过CLI执行哪个命令等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！