也许就要离开这儿了,但公司网站在前几天被人入侵过后台,还在里面留了行字,”某某到此一游,请管理好后台。”偶米有对老板说这件事,只是修改了下那些文字,看来那位某君确实是网络高手。但可能这个网站只是个普通的asp新闻管理系统,他估计看不上无意中扫描到的后台。
但这不是件小的事情,虽说可能自己也呆不了多久,但这问题一定要在离开之前彻底解决,于是不断查询这方面的教程及攻防知识,原来是偶自己太大意和米得经验,才让网站的access数据库让人家给下载去了,这样人家就可以从里面管理员找到md5加密后的密码进行登录,虽然知道了原因和过程,但却无法解决,因为公司网站用的只是基础的asp空间,要升级成mysql不但要换整个网站系统,还得购买mysql和php类型的空间,这成本起码得几k到 1w了,不知道老板愿意不,因为这空间一年才150块左右。思来想去觉得不可行,因为不可能几天内搭建一个新的程序网站,偶并不熟悉网站这块配置,万一程序上有问题是无法及时处理完的,另外空间也得近 1k多去升级,这还是1年的费用,老板肯定不愿意了。
于是就不再计较,自己把.mdb数据库后缀和路径都修改了,虽然这可以短期内防止人家再次扫描和下载,但并不能保证时间久了不能被下载去,最后决定从程序脚本上着手,asp是基于微软vbscript脚本开发的编程语言,找到了网站的基础配置conn.asp文件和后台管理逻辑页面,看到里面连接数据库和账号的语句,于是就把账号这块的循环写固定,直接写在配置里面,不再读取数据库了,这样的缺点是数据库再不进行网站后台管理员账号的保存及操作功能,也就是说网站后台或修改mdb数据库那种操作对管理账号无效,好处是别人即使下载了那个mdb,也无法再进行网站后台的登录和编辑功能,也只能这么干了,谁叫又不能升级空间和换asp系统,偶也不会什么脚本和那些asp的vb语法。还有那些com封装的加密组件,这些太需要深入编程了,但现在做不到这些。