(注意:本教程配有语音,请打开您的音响,并且使用1024*768或以上的屏幕分辨率来观看!)

本次动画教程主题: 站长的安全利剑

制作时间：2007年10月21日   制作人：甲面将军  QQ：121813720

需要用到的软件：safe3-安全伞

演示环境：windows xp sp2操作系统

虽然现在已有防火墙、杀毒、入侵检测等安全防范手段，但防火墙对Web入侵基本没有作用，杀毒软件更是对变形webshell显得无力，SQL注入稍微变形就可绕过传统IDS，由此导致的网页被篡改或挂马屡见不鲜。目前专门针对Web安全的工具还很少，而像中国中央政府门户网站所使用的iGuard网页防篡改系统又贵的惊人，由此诞生了一款任何人都用得起的轻量级实用的反黑工具-安全伞。
一但发现黑客入侵就可立刻采取措施。同时集成了多种实用功能，让网站管理变得更加轻松。

运行环境：

运行此软件需安装Microsoft .NET Framework 2.0
对用户来说，就是一个组件，如果你碰上用.net语言开发的软件，那就必须先装上这个东东，才能使用软件。目前越来越多的软件运行要依赖于它了。 对开发者来说，它是一个庞大的类库。
下载地址：http://dl.pconline.com.cn/html_2/1/82/id=10637&pn=0.html

软件功能和防黑客说明：

安全伞：一款为广大服务器管理人员提供的入侵检测完美解决方案的程序。
主要功能：Web监控与防篡改短信通知、ARP免疫 、脚本后门扫描、文件篡改检查、可疑文件搜索、特殊文件夹检查、反批量挂马等。

1.  Web监控与防篡改：实时监控Web目录的变化情况，包括文件或文件夹的创建，修改，删除。并生成日志记录。这样对入侵的黑客的一举一动都了如指掌，有利于漏洞查找和黑客追踪，启用反篡改功能后，黑客对你网站的改动将自动恢复，达到杜绝脚本入侵的可能。对入侵情况第一时间通过短信发送到邮箱。给及时处理提供响应时间。

2.  脚本后门扫描：根据特征扫描能查出99%以上的脚本后门(asp,php,jsp,aspx)。生成报告以html形式显示

3.  文件篡改检查：提取重要文件的属性，用于以后文件被非法修改的校对，找出隐患。去粗取精。

4.  可疑文件搜索：这个功能主要用于辅助管理员手工查找后门。

5.  特殊文件夹检查：主要用于检测Win2003存在着一个文件解析路径的漏洞，当文件夹名为类似hack.asp的时候（即文件夹名看起来像一个ASP文件的文件名），此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁，所以几乎所有网站都会存在这个漏洞。关于此漏洞的文章大家可以查看里：http://www.gimoo.net/technology/ld/200409/164629.shtml，另外比如像xxx..\这样的特殊文件夹会被黑客利用。这样的文件夹既普通删不掉也不能修改，放在里面的木马杀毒软件视而不见。而此功能能有效找出这样的文件夹。

6.  反批量挂马：现在网上批量挂马的程序随处可见，我就经历过一个网站在5小时内30多万个网页被挂马，给管理员清除造成了很大的困难，而此功能可解决管理员的困境。

7.  ARP免疫：防止ARP挂马和敏感信息被监听截获。当黑客入侵同一网段的主机后如果你的主机没做任何ARP防御措施，虽然你的主机没被黑但客户访问你的网站时网页被插入恶意代码即ARP挂马。同时黑客可以嗅探到此网段下所以主机的ftp、http等用户密码。著名黑客网站安全焦点就曾遭到这样的攻击。虽然基本解决了arp对本地的威胁。但是arp还可以欺骗网关，会造成本地通讯中断，所以希望有条件的朋友最好在网关上绑定本地ip和mac地址。

8.SQL防注入

<% 
'Copyright by Bluer 2006
Response.Buffer = True
On Error Resume Next
<%@ LANGUAGE=VBScript CodePage=936%>
<%
Option Explicit
Dim Startime,Endtime
Dim Dvbbs, MyCache
Dim SqlNowString,Conn

'定义数据库类别，1为SQL数据库，0为Access数据库
Const IsSqlDataBase=0
'论坛缓存名称，如果一个站点有多个论坛请更改成不同名称
Const Forum_CacheName="aspsky"
Const Forum_EnableCacheDatabase=1
Startime=Timer()
Dim plus_name,Plus_Setting
plus_name=""
Set Dvbbs=New Cls_Forum
Set MyCache=New Cache
Sub ConnectionDatabase
 Dim ConnStr
 If IsSqlDataBase=1 Then
  SqlNowString="GetDate()"
  'sql数据库连接参数：数据库名、用户密码、用户名、连接名（本地用local，外地用IP）
  Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName
  SqlDatabaseName=""
  SqlPassword=""
  SqlUsername="sa"
  SqlLocalName="(local)"
  ConnStr = "Provider=Sqloledb; User ID=" & SqlUsername & "; Password=" & SqlPassword & "; Initial Catalog = " & SqlDatabaseName & "; Data Source=" & SqlLocalName & ";"
 Else
  SqlNowString="Now()"
  Dim Db
  '免费用户第一次使用请修改本处数据库地址并相应修改data目录中数据库名称，如将dvbbs6.mdb修改为dvbbs6.asp
  Db="data/dvbbs6.mdb"
  ConnStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(db)
 End If
 on error resume next
 Set conn = Server.CreateObject("ADODB.Connection")
 conn.open ConnStr
 If Err Then
  err.Clear
  Set Conn = Nothing
  Response.Write "数据库连接出错，请检查连接字串。"
  Response.End
 End If
End Sub
Sub CloseDatabase

End Sub
%>

If Err.Number <> 0 Then
    Response.Clear
    Select Case Err.Number
    Case 0
    Case Else
       
        If IsObject(conn) Then
            If conn.Errors.Count > 0 Then
                Dblog="Database Error:"
                For intLoop = 0 To objConnection.Errors.Count - 1
                   
                    Dblog=Dblog + "Error No:" + conn.Errors(intLoop).Number + "|"
                    Dblog=Dblog + "Description:" + conn.Errors(intLoop).Description + "|"
                    Dblog=Dblog + "Source:" + conn.Errors(intLoop).Source + "|"
                    Dblog=Dblog + "SQLState:" + conn.Errors(intLoop).SQLState + "|"
                    Dblog=Dblog + "NativeError:" + conn.Errors(intLoop).NativeError + "|"
                Next
                slog(Dblog)
            End If
        End If
        If Err.Number <> 0 Then
           
            Plog="age Error:"
            Plog=Plog+"Error Number" + Err.Number + "|"
            Plog=Plog+"Error Description" +  Err.Description + "|" 
            Plog=Plog+"Source " +  Err.Source + "|"
            Plog=Plog+"LineNumber " +  Err.Line + "|"
            slog(Pblog)   
        End If
    Response.Redirect "/XXX.htm"
    End Select
    Err.Clear
End If
if request.querystring<>"" then stopinjection(request.querystring)
if request.cookies<>"" then stopinjection(request.cookies)
function stopinjection(values)
for each n_get in values
  dim l_get, l_get2
  for each l_get in values
  l_get2 = values(l_get)
  set regex = new regexp
  regex.ignorecase = true
  regex.global = true
   regex.pattern = "(\sunion\s|\sor\s|\sand\s|/\*|'|;|--|\sdeclare\s|\bselect\b|\bupdate\b|\binsert\b|\.\./|\.\.\\)"
if regex.test(l_get2) then
                             
                                sURL=server.htmlencode(lcase("http://"+Request.ServerVariables("HTTP_HOST")+Request.ServerVariables("SCRIPT_NAME")+"?"+Request.ServerVariables("QUERY_STRING")))
                                IP=server.htmlencode(Request.ServerVariables("HTTP_X_FORWARDED_FOR"))
                                If IP = "" Then
                                  IP=server.htmlencode(Request.ServerVariables("REMOTE_ADDR"))
                                end if
                             
                            slog("<br>Illegal operation IP："&ip&"  Illegal operation code："&sURL&" Illegal operation time：" & now())
                                   
    alert()
    response.end()
  end if
  set regex = nothing
  next
next
end function

sub alert()
        IP=server.htmlencode(Request.ServerVariables("HTTP_X_FORWARDED_FOR"))
                                If IP = "" Then
                                  IP=server.htmlencode(Request.ServerVariables("REMOTE_ADDR"))
                                end if
Response.Write "System automatically holds up illegal operation code!"&server.htmlencode(Request.ServerVariables("QUERY_STRING"))&"Your true IP is"&ip&"<script>alert('"&now()&"  System automatically holds up illegal operation code,records your illegal operation!');location.href='"&server.htmlencode(lcase("http://"+Request.ServerVariables("HTTP_HOST")+"/XXX.htm"))&"';</script>"
        Response.end
end sub
sub slog(logs)
        toppath = Server.Mappath("log.htm")
                                Set fs = CreateObject("scripting.filesystemobject")
                                If Not Fs.FILEEXISTS(toppath) Then
                                    Set Ts = fs.createtextfile(toppath, True)
                                    Ts.close
                                end if
                                Set Ts= Fs.OpenTextFile(toppath,1)
                                    Do While Not Ts.AtEndOfStream
                                            Errorlog = Errorlog  & Ts.ReadLine  & chr(13) & chr(10)
                                    loop
                                    Ts.close
                                    Errorlog =Errorlog & logs
                                    Set Ts= Fs.OpenTextFile(toppath,2)
                                    Ts.writeline (Errorlog)
                                    Ts.Close
end sub
%>

下面是检测到攻击跳转的页面XXX.htm

<head>
<meta http-equiv="Content-Type" c />
<title></title>
<style type="text/css">
<!--
body,td,th {font-size: 9pt;line-height:14px;}
.zi_1{color:#f10c01;}
-->
</style>
</head>
<body>
<table width="100%" height="100%" border="0" cellpadding="0" cellspacing="0">
  <tr>
    <td valign="middle"><table width="347" border="0" align="center" cellpadding="0" cellspacing="0">
     
      <tr>
        <td>您访问的地址不存在或已更改。<br>
          系统将在 <span class="zi_1">1</span> 秒钟内返回首页，如无响应，请单击下面按钮<span class="zi_1">返回
          <a href="http://www.3800hk.com/"></a></span></td>
      </tr>
     
    </table></td>
  </tr>
</table>
<script language=JavaScript>
setTimeout("top.window.location='http://www.3800hk.com/';",3000);
</script>
</body>
</html>

使用方法
找到网站下面包含Server.CreateObject("ADODB.Connection")的asp文件，一般为conn.asp
将上面“原数据库连接代码放在这里（比如conn.asp的代码）”的地方用conn.asp里面的代码替换，保存为新的conn.asp，运行发现攻击后会在当前目录下生成一个log.htm的文件，该文件记录了黑客的非法操作和ip地址，请将XXX.htm这个文件放于网站根目录下，发现攻击后会跳转到该页，其中的网址大家改成自己的！

• [VIP 线路 - 电信高速下载][非高级会员不可下载]
• [VIP 线路 - 双线高速下载][非高级会员不可下载]

• ☉ 站长的安全利剑

• ☉ 由于私服程序的特殊性，它非常容易被杀毒误报，所以自2011年1月起本站所有软件都不在做杀毒查杀，请下载后自行检测查杀！
• ☉ 为了达到最快的下载速度，推荐使用 迅雷5 下载本站软件。
• ☉ 本站软件均为WinRAR5.6版本压缩，所以请一定升级到WinRAR5.6或最新版才能正常解压本站提供的软件!
• ☉ 如果您发现下载链接错误，或内容与分类不匹配，请点击报告错误。正确报错10个我们将送您VIP会员！
• ☉ 如发现本站软件需要解压密码，均为：www.987654321sf.com