Categories


Tags


[分享]云服务器挂马清理实例

网站通过百度搜索访问,会跳转到异常网站。

经过仔细分析、核实,确定是被挂马造成,但网页源文件中、使用安全工具扫描都没有发现异常代码。

新建空文件1.html,使用工具测试也显示挂马,说明是系统层面问题。

1.png

经查看站点设置等信息,发现iis站点》模块被加入了异常dll,如图

2.png

3.png

根据经验,%windir%开头的路径是系统自动加的,理论上没有问题;如果是c:\windows要重点核实。

4.png

5.png

经过分析,此文件是木马病毒文件。

删除模块加载,并删除文件,重启iis后测试,挂马消失。

经分析,黑客主要是利用了windows系统安全漏洞,进而对系统造成了一些破坏。

目前主要windows2008、windows2012系统存在问题,如使用这两个系统的用户,强烈建议升级为windows2016,具体操作参考:https://www.west.cn/faq/list.asp?unid=2446

或新购买一台同机房同配置云服务器,安装2016系统,自行迁移数据到新服务器,然后提交工单平移时间到新服务器。

安全设置

如暂时不能升级,请做必要的安全设置。

1.安装杀毒软件或安全控制软件,比如云锁。

2.使用独立用户进程池。(使用我司建站助手建立站点即可)

3、取消dcom

windows管理工具》组件服务》我的电脑右键属性》默认属性》在此计算机上启用分布式COM的勾取消。如果默认没有勾中不用做处理。

6.png

4.替换身份令牌取消所有池用户包括iis_users组。

windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限

8.png

5.身份模拟取消所有池用户包括iis_users组

windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限

9.png

这是临时的安全设置,无法确保长久的安全,建议尽快升级为windows2016系统才能彻底解决问题。

来源:西部数码


Public @ 2013-05-10 15:37:40

CentOS操作系统通过安装ntfs-3g挂载NTFS格式硬盘

1. 首先安装ntfs-3g: 在命令行中输入以下命令,进行安装: sudo yum install ntfs-3g 2. 挂载NTFS格式硬盘: 找到需要挂载的NTFS格式硬盘设备名,例如/dev/sdb1。 在命令行中输入以下命令,进行挂载: sudo mount -t ntfs-3g /dev/sdb1 /mnt 其中/mnt为挂载点,可以自定义。 3. 卸载硬盘: 在不使

Public @ 2023-06-15 20:50:10

使用SQL Server 2000索引视图提高性能

SQL Server 2000索引视图是 SQL Server 引擎中的一种功能,可以帮助我们提高查询效率。它的作用是根据我们的特定的查询条件,把相关的数据保存到一个“虚拟表”中,这样就可以把查询操作分解成多个更简单的查询操作,从而帮助我们提高查询效率: 一、优点: 1. 快速检索,查询结果返回更快。 2. 更高的并发性,因为只有一个客户正在查询,所以可以支持更多的客户同时查询。 3

Public @ 2023-03-04 10:48:28

关于网站被挂马\黑客入侵的只读\误杀相关问题

网站被挂马黑客入侵的只读误杀指的是在黑客入侵后,为了保证服务器安全,网站管理员可能会进行只读操作,即禁止对网站进行任何修改和上传操作。这种操作是为了防止黑客在入侵后继续篡改或上传恶意文件。 然而,只读操作可能会误杀合法的用户操作。例如,用户可能需要上传新的内容或文件,或者执行其他修改操作来更新网站。当网站处于只读状态时,这些合法的操作将无法执行,给用户带来不便。 为了避免只读误杀,网站管理员需

Public @ 2023-07-30 04:50:20

企业网站常见耗资源、大流量、被挂马的原因分析与对策

企业网站是公司展示形象、宣传产品、服务客户的重要平台,但也存在一些安全问题,主要包括以下方面: 1. 网站耗资源:企业网站可能因为服务器配置不当、代码不规范等问题,导致访问速度慢、页面加载缓慢等。此类问题通常需要对服务器进行优化和升级,或者对编码进行优化。 2. 大流量攻击:企业网站因为知名度高或者服务质量好,很容易成为黑客攻击的目标。黑客会通过DDoS攻击(分布式拒绝服务攻击)等方式,让大量

Public @ 2023-06-21 06:50:23

更多您感兴趣的搜索

0.420409s