Categories


Tags


[分享]云服务器挂马清理实例

网站通过百度搜索访问,会跳转到异常网站。

经过仔细分析、核实,确定是被挂马造成,但网页源文件中、使用安全工具扫描都没有发现异常代码。

新建空文件1.html,使用工具测试也显示挂马,说明是系统层面问题。

1.png

经查看站点设置等信息,发现iis站点》模块被加入了异常dll,如图

2.png

3.png

根据经验,%windir%开头的路径是系统自动加的,理论上没有问题;如果是c:\windows要重点核实。

4.png

5.png

经过分析,此文件是木马病毒文件。

删除模块加载,并删除文件,重启iis后测试,挂马消失。

经分析,黑客主要是利用了windows系统安全漏洞,进而对系统造成了一些破坏。

目前主要windows2008、windows2012系统存在问题,如使用这两个系统的用户,强烈建议升级为windows2016,具体操作参考:https://www.west.cn/faq/list.asp?unid=2446

或新购买一台同机房同配置云服务器,安装2016系统,自行迁移数据到新服务器,然后提交工单平移时间到新服务器。

安全设置

如暂时不能升级,请做必要的安全设置。

1.安装杀毒软件或安全控制软件,比如云锁。

2.使用独立用户进程池。(使用我司建站助手建立站点即可)

3、取消dcom

windows管理工具》组件服务》我的电脑右键属性》默认属性》在此计算机上启用分布式COM的勾取消。如果默认没有勾中不用做处理。

6.png

4.替换身份令牌取消所有池用户包括iis_users组。

windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限

8.png

5.身份模拟取消所有池用户包括iis_users组

windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限

9.png

这是临时的安全设置,无法确保长久的安全,建议尽快升级为windows2016系统才能彻底解决问题。

来源:西部数码


Public @ 2013-05-10 15:37:40

十大Linux操作系统发行版概览

对于Linux新手来说,在各发行版之间困惑得进行选择和不断增加的数量实在令人头晕,这就是写作本文的原因,其中列出的10个(附加一个值得一提的FreeBSD,BSD一族中最为流行的)是被全世界的Linux玩家最广泛使用的发行版。没有数据来支持这个结论,而且对于人们特殊的需求也许会有其它更好的版本来满足,但作为一般原则,这些版本都使用广泛还有活跃的论坛或者邮件列表来让你在遇到问题卡住的时候求救。 Ub

Public @ 2013-03-27 15:47:39

路由跟踪-Tracet命令使用方式介绍

Traceroute命令用于追踪数据包从源主机到目的主机的路径。它通过发送带有不同TTL(存活时间)值的ICMP Echo请求消息,然后接收到目的主机的ICMP Time Exceeded消息来确定路径。下面是Traceroute命令的使用方式: traceroute [选项] 目的主机 选项: -h 指定最大跳数 -m 指定TTL的最大值 -I 使用ICMP Echo请求代替UDP数据包 -

Public @ 2023-07-22 16:00:29

如何预防和检测网页挂马?

(1)通过安全扫描工具或静态代码分析工具对网页源代码进行扫描,检测出潜在的攻击代码。 (2)通过一定的安全策略来防止黑客在网页端植入病毒或挂马。比如文件上传功能限制,禁止在网页端运行脚本语言,网站管理员加强审查等。 (3)网站管理员也可以经常对网页源代码进行扫描,及时发现潜在的安全风险,以免受到意外的攻击。 (4)正确安装和配置权限,以减少攻击者的控制幅度,及时给予安全补丁,以免受到攻击

Public @ 2023-02-25 19:36:25

如何预防和检测网页挂马?

在网站优化设计当中,检测网页木马也是很重要的一项工作,目前流行的网站被黑,是在相应的asp,htm,js等文件中,插入以js调用方式的。本文主要介绍网页挂马的种类、如何检测网页是否被挂马、如何清除网页木马。如何防止网页被挂马。1:网页挂马的种类.目前流行的网站被黑,是在相应的asp,htm,js等文件中,插入以js调用方式的。更详细的资料,请点击查看挂马代码大全。卢松松以前做过的&lsqu

Public @ 2014-10-23 15:37:43

更多您感兴趣的搜索

0.502375s