多图详解:入侵国内某知名网站记录

2005-11-22 10:32:41 作者：小鱼修炼来源：邪恶八进制信息安全团队浏览次数：763 文字大小:【大】【中】【小】

　　一.“战争”序幕的拉开

　　笔者最近在学习汇编，朋友推荐了一本不错的书，跑遍了附近的书店都没有找到，于是在baidu搜到了该出版社的网站，刚一打开，KV网页监控马上报告“发现病毒已经清除”如图1

　　这种网站都会被人挂上木马，幸好打过补丁了，要不系统就遭殃了！

发现有网页木马存在

　　小提示

　　网页木马的原理都是利用一些IE的漏洞来运行程序(一般都是木马程序），现在流行的网页木马如：XP＋SP2的网页木马，最近新出了一个利用'Help Control Local Zone Bypass"的网页木马，需要的朋友可以去网上搜搜，一般黑客站点都有的。勤打补丁的话像市面上公布出来的网页木马就算打开了也没有关系的！

　　看了一下这个网站支持在线购买图书，反正也没事干，那么就开始吧！

　　二.轮番轰炸

　　既然已经被人挂了木马，那就是有人进去过了，大体观察了一下，它的网站是ASP+MSSQL的，没有什么论坛，看来想拿webshell不是很容易。

　　还是看看它开了什么端口吧！

　　小提示

　　菜鸟：为什么很多文章中都提到扫描端口，扫描端口到底有什么用呢？

　　答：理论的东西不想多讲了，通常说的扫描端口是指扫描TCP端口，系统中的每个网络服务要与外部通信就必须用到端口，什么意思呢？

　　就好比你跟聋哑人沟通用的是手语，不同的系统服务会用到不同的端口，比如开网站的服务器，就肯定开放了80端口，根据端口的开放情况可以判断对方开了哪些服务从而方便我们找对应的漏洞或者溢出！一会儿功夫扫描结果就出来了，图2