不应沦落的网站数据

不应沦落的网站数据

陈小兵

相对过去几年，现在的网站安全提高了很多，但在实际情况中还存在中一些不注意的细节，就网站本身来说已经很安全了，程序上基本不存在漏洞，服务器权限也设置的比较严格，通过旁注也不能获取网站系统的 shell ，可以说在没有特殊的情况，基本很难拿到网站数据。然而一些管理员往往在对网站进行备份和维护时，由于遗忘或者大意，在在对网站代码进行处理后，未及时删除整个网站源代码和数据的压缩文档，因此给网站带来很大的安全隐患，本文就针对这种情况介绍了一个实际的案例，尽管该网站已经不存在了，但对从事网站维护和安全管理的人员还是有一定的借鉴意义，有关更多的技术探讨，请去我们的技术论坛―― AST 安全技术（ www.antian365.com ）一起探讨。

1. 获取网站源代码

获取网站源代码有多种方式，一种就是通过分析网站的关键字、版权等信息，进而获取系统采用什么版本的软件系统，最后到官方下载站点进行下载；另外一种就是通过漏洞检测程序进行扫描检测，当网站根目录中存在压缩文档，即可给出扫描结果。有些时候也可以手工检测，例如在网站地址后加上 web.rar 、 wwwroot.rar 、以及以网站名称命名的压缩文档，例如本例中的 blogdj.cn.rar ；一般来说可以适当的借助社工进行猜测。如图 1 所示，直接输入 http://www.blogdj.cn/web.rar 就可以进行下载，从图 1 中我们看到该压缩文件有 634M ，应该是该网站源代码和数据的整个压缩文件，将其下载到本地进行分析。

图 1 下载网站源代码

2. 分析网站源代码

    从下载的网站源代码中我们知道该网站系统是 blog 和 cms 的结合体，从中主要寻找数据库连接文件，由于是 php 编码的，因此重点寻找 config.inc.php 之类的文件。在 asp 中重点寻找 conn.asp 、 db.asp 、 config.asp 以及 dbconn.asp 等；在 asp.net 中重点寻找 web.config 等涉及数据库连接的文件，如图 2 所示，找到该的是 Mysql 数据库连接文件。数据库文件一般在当前根目录或者 includes 这类的文件夹下。从图 2 中我们知道该数据库可以直接使用

用户“ Root ”和密码“ 7419638520 ”进行连接，且数据库用户名称“ blogdj ”，对应该数据库的密码是“ bbd123 ”。

图 2 获取数据库连接文件

3. 查看该网站数据库端口开放情况

   先使用命令“ ping blogdj.cn ”获取网站 IP 地址“ 121.11. 253.154 ” ，然后使用“sfind �Cp 3306 121.11. 253.154 ” 查看MySQL 数据库 3306 端口是否开放，如图 3 所示，服务器上 3306 端口对外开放，可以从本地连接服务器。

图 3 获取服务器 IP 地址和数据库端口开放情况

4. 从源代码中获取有用信息

    通过分析网站源代码，发现网站中直接使用 phpMyAdmin 来管理数据库，在浏览器中输入地址 http://www.blogdj.cn/phpmyadmin/index.php 后出现一个登录窗口，输入数据库名称和密码，成功登录，如图 4 所示，在本例中输入的是 root 用户和密码，进入后可以对整个 MySql 中的数据库进行管理。

图 4 使用 phpMyAdmin 成功进入数据库管理

5. 管理和操作数据库

     如图 5 所示，在 phpMyAdmin 管理界面的左边，我们选择 blogdj （ 35 ），该数据表明 blogdj 一共有 35 个表，在该列表中我们还可以选择其它数据库进行查看，在图 5 中我们可以直接修改数据库表中的数据，可以新建表，删除表中的数据等操作，还可以直接导出 webshell 。 phpMyAdmin 提供的功能非常强大，在图 5 中我们可以查看该网站的管理员用户名称和密码，通过修改或者破解密码，可以直接以管理员身份登录该网站系统，总之在这种情况下可以进行很多操作。

图 5 操作 blogdj 数据库

5. 防范与总结

     就本例而言，数据库密码也不是那么轻易被破解的，由于管理的疏忽在网站根目录中保留了网站源代码的压缩文件，一旦这些文件泄露，那么将给系统带来很大的安全隐患。因此在平时的安全维护中可以采取一些安全措施：

（ 1 ）查看网站目录存在的文件，有无特殊文件，例如压缩文件，编辑器编辑后备份文件，如果有，建议复制到其它的地方或者直接删除。

（ 2 ）如果不涉及文件下载，那么可以对网站进行设置，是网站不支持 rar 文件直接下载。

（ 3 ）定期维护网站，观察网站中的蛛丝马迹，以不变应万变，有时间还可以分析一下 IIS 的日志文件查看是否有 rar 下载。

说明：写本文时，该网站已经停用很久了，本文仅仅是进行技术分析，切忌违法乱纪！