很多站長,一覺醒來,網站各個頁面全部被掛馬,手忙腳亂,經過幾次以后,偶發現幾種情況。
第一通過服務器WEBSHELL
進去對網站掛馬的,這種情況只能是重裝服務器,進行權限設置,通過這樣的服務器在安全策略設置不夠好,帳戶的確立,補丁更新,IIS下文件夾下不同權限的訪問權限,還有第三方軟件的安全性設置,如SEV-U,SQLSERVER,這些在網站都可以找到的。這種情況我們基本下可以看到C盤根目錄下有可執行的可疑文件,用戶組多了未知用戶,權限有ADMINISTRATOR權限,這時候,只能是重裝,因為你的服務器被置了。
所以從最先開始重裝的時候要充分考慮到權限問題。(備注:數據備份一定要有規律和及時性)
第二網站程序被注入
如SQL注入,如上傳代碼漏洞等。一般我們這里分二種情況。
1,網序自主開發,或是網上DOWNLOAD下加自已開發
這樣程序,我們在前期開發時要充分考慮到注入與上傳設置,特別網站下載下來先殺毒一遍,實在沒辦法的,用通用的防注入程序,然事開發好后用網站掃描工具掃描,這里面要著重注意到的是SQL數居庫權限,上傳文件權限,網站防注入措施,上傳代碼或第三方組件。這幾個分面充分考慮下,如果被掛,在第一步沒問題的情況下查看IIS日志,查看網站下最新更新文件及新建文件,用殺毒軟件殺出可疑問件,如果是靜態的可采用字符替換器進行換,完善網站程序。
2,程序是網上購買和采用第三方程序
像這樣的程序一般來說沒有多大問題,但是用的人多,漏洞暴光就越多,從幾個成熟的產品我都經歷過,這樣的程序我們要做到,第一,盡量不修改原程序結構和數據結構,第二,經常關注官方更新及發布,第三,及時打補丁升級,如果您修改的多了,升級將是很麻煩的事情,像這類的程序被掛馬的會,第一時間去官方查看及咨詢,查看這類網站自身的日志,管理權限等方面,很多人圖方便密碼簡單,現在會猜的人很多了。像這類網站及時打補丁,注重官方發布應該沒問題。
第三,機房其他IP被攻擊
我經歷過幾次,有幾次,網頁被掛馬,服務器上怎么也查不出來,后來才發現,是機房其他IP中招發出的惡意攻擊,及時咨詢機房人員,像這類的掛馬代碼,通常出現在最上面。
第四,局域網中招
有時候,公司很多人都在訪問網站發現中招,其實是其中有電腦中招,打開很多網站都中招,用ARP防火墻或是MAC地址查看,查到源機器,切斷網線。
碰到掛馬是件很煩的事情,關鍵是站長要及時間,冷靜的分析,最快時間內解決問題。
湘公網安備 43010302000270號