㈠ 伺服器好像被掛馬,怎麼解決,有圖
一般都是網站程序存在漏洞或者伺服器存在漏洞而被攻擊了
網站掛馬是每個網站最頭痛的問題,解決辦法:1.在程序中很容易找到掛馬的代碼,直接刪除,或則將你沒有傳伺服器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。但這不是最好的解決辦法。最好的方法還是找專業做安全的來幫你解決掉
聽朋友說 SineSafe和綠盟 這兩家專業做安全的公司不錯 你可以去看看。
清馬+修補漏洞=徹底解決
所謂的掛馬,就是黑客通過各種手段,包括SQL注入,網站敏感文件掃描,伺服器漏洞,網站程序0day, 等各種方法獲得網站管理員賬號,然後登陸網站後台,通過資料庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容,向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得伺服器或者網站FTP,然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時,你就會自動的訪問被轉向的地址或者下載木馬病毒
清馬
1、找掛馬的標簽,比如有<script language="javascript" src="網馬地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=網馬地址></iframe>,或者是你用360或病殺毒軟體攔截了網馬網址。SQL資料庫被掛馬,一般是JS掛馬。
2、找到了惡意代碼後,接下來就是清馬,如果是網頁被掛馬,可以用手動清,也可以用批量清,網頁清馬比較簡單,這里就不詳細講,現在著重講一下SQL資料庫清馬,用這一句語句「update 表名 set 欄位名=replace(欄位名,'aaa','')」, 解釋一下這一句子的意思:把欄位名里的內容包含aaa的替換成空,這樣子就可以一個表一個表的批量刪除網馬。
在你的網站程序或資料庫沒有備份情況下,可以實行以上兩步驟進行清馬,如果你的網站程序有備份的話,直接覆蓋原來的文件即可。
修補漏洞(修補網站漏洞也就是做一下網站安全。)
1、修改網站後台的用戶名和密碼及後台的默認路徑。
2、更改資料庫名,如果是ACCESS資料庫,那文件的擴展名最好不要用mdb,改成ASP的,文件名也可以多幾個特殊符號。
3、接著檢查一下網站有沒有注入漏洞或跨站漏洞,如果有的話就相當打上防注入或防跨站補丁。
4、檢查一下網站的上傳文件,常見了有欺騙上傳漏洞,就對相應的代碼進行過濾。
5、盡可能不要暴露網站的後台地址,以免被社會工程學猜解出管理用戶和密碼。
6、寫入一些防掛馬代碼,讓框架代碼等掛馬無效。
7、禁用FSO許可權也是一種比較絕的方法。
8、修改網站部分文件夾的讀寫許可權。
9、如果你是自己的伺服器,那就不僅要對你的網站程序做一下安全了,而且要對你的伺服器做一下安全也是很有必要了!
㈡ 如何防止網站被掛木馬
設置只讀應該不解決問題
webshell一般都是通過注入或者遠程溢出拿到,有了webshell改文件屬性還不容易
所以網站要做好防注入,伺服器要勤打補丁
多關心一下安全方面的新聞
㈢ 伺服器怎麼防攻擊
在頻頻惡意攻擊用戶、系統漏洞層出不窮的今天,作為網路治理員、系統治理員雖然在伺服器的安全上都下了不少功夫,諸如及時打上系統安全補丁、進行一些常規的安全配置,但有時仍不安全。因此必須惡意用戶入侵之前,通過一些系列安全設置,來將入侵者們擋在「安全門」之外,下面就將我在3A網路伺服器上做的一些最簡單、最有效的防(Overflow)溢出、本地提供許可權攻擊類的解決辦法給大家分享,小弟親自操刀,基本沒出過安全故障!
一、如何防止溢出類攻擊
1.盡最大的可能性將系統的漏洞補丁都打完,最好是比如Microsoft Windows Server系列的系統可以將自動更新服務打開,然後讓伺服器在您指定的某個時間段內自動連接到Microsoft Update網站進行補丁的更新。假如您的伺服器為了安全起見 禁止了對公網外部的連接的話,可以用Microsoft WSUS服務在內網進行升級。
2.停掉一切不需要的系統服務以及應用程序,最大限能的降底伺服器的被攻擊系數。比如前陣子的MSDTC溢出,就導致很多伺服器掛掉了。其實假如 WEB類伺服器根本沒有用到MSDTC服務時,您大可以把MSDTC服務停掉,這樣MSDTC溢出就對您的伺服器不構成任何威脅了。
3.啟動TCP/IP埠的過濾,僅打開常用的TCP如21、80、25、110、3389等埠;假如安全要求級別高一點可以將UDP埠關閉,當然假如這樣之後缺陷就是如在伺服器上連外部就不方便連接了,這里建議大家用IPSec來封UDP。在協議篩選中」只答應」TCP協議(協議號為:6)、 UDP協議(協議號為:17)以及RDP協議(協議號為:27)等必需用協議即可;其它無用均不開放。
4.啟用IPSec策略:為伺服器的連接進行安全認證,給伺服器加上雙保險。如三所說,可以在這里封掉一些危險的端品諸如:135 145 139 445 以及UDP對外連接之類、以及對通讀進行加密與只與有信任關系的IP或者網路進行通訊等等。(注:其實防反彈類木馬用IPSec簡單的禁止UDP或者不常用TCP埠的對外訪問就成了,關於IPSec的如何應用這里就不再敖續,可以到服安討論Search 「IPSec」,就 會有N多關於IPSec的應用資料..)
二、刪除、移動、更名或者用訪問控製表列Access Control Lists (ACLs)控制要害系統文件、命令及文件夾:
1.黑客通常在溢出得到shell後,來用諸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 來達到進一步控制伺服器的目的如:加賬號了,克隆治理員了等等;這里可以將這些命令程序刪除或者改名。(注重:在刪除與改名時先停掉文件復制服務 (FRS)或者先將 %windir%\system32\dllcache\下的對應文件刪除或改名。
2.也或者將這些.exe文件移動到指定的文件夾,這樣也方便以後治理員自己使用
3.訪問控製表列ACLS控制:找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件,在「屬性」→「安全」中對他們進行訪問的ACLs用戶進 行定義,諸如只給administrator有權訪問,假如需要防範一些溢出攻擊、以及溢出成功後對這些文件的非法利用,那麼只需要將system用戶在 ACLs中進行拒絕訪問即可。
4.假如覺得在GUI下面太麻煩的話,也可以用系統命令的CACLS.EXE來對這些.exe文件的Acls進行編輯與修改,或者說將他寫成一個.bat批處理 文件來執行以及對這些命令進行修改。(具體用戶自己參見cacls /? 幫助進行)
5.對磁碟如C/D/E/F等進行安全的ACLS設置從整體安全上考慮的話也是很有必要的,另外非凡是win2k,對Winnt、Winnt\System、Document and Setting等文件夾。
6.進行注冊表的修改禁用命令解釋器: (假如您覺得用⑤的方法太煩瑣的話,那麼您不防試試下面一勞永逸的辦法來禁止CMD的運行,通過修改注冊表,可以禁止用戶使用命令解釋器 (CMD.exe)和運行批處理文件(.bat文件)。具體方法:新建一個雙位元組(REG_DWord)執行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD,修改其值為1,命令解釋器和批處理文件都不能被運行。修改其值為2,則只是禁止命令解釋器的運行,反之將值改為0,則是打開CMS命令解釋器。假如您賺手動太麻煩的話,請將下面的代碼保存為*.reg文件,然後導入。
7.對一些以System許可權運行的系統服務進行降級處理。(諸如:將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System許可權運行的服務或者應用程序換成其它administrators成員甚至users許可權運行,這樣就會安全得多了…但前提是需要對這些基本運行狀態、調用API等相關情況較為了解. )
㈣ IIS被掛馬了,如何解決
能否說明一下,你是否進行了IIS的站點用戶分離設置
就是說,你是不是所有的站點都使用的IIS的默認用戶,這樣的話全部被掛馬是很容易。
至於清除這種木馬
網上搜索ClearTrojan小軟體可以批量去掉那些iframe或者script掛入的木馬
ASP.NET_2.0XXX是.NET2.0,不是木馬。
一般情況這種掛馬的webshell許可權還不至於直接破壞你伺服器
但如果你伺服器Server-u是用系統帳號運行,或者你有網站連接SQL Server資料庫用到SA用戶,就非常危險了。
另外SQL server一定要打SP4,且SA不能空密碼
Server-u也要設置密碼,並將啟動服務的帳號改為guest組用戶,以防提權操作。改了以後要給server-u的用戶操作server-u配置文件和網站目錄的修改許可權。
程序方面,要做好防注入措施
就是程序過濾提交的參數和數據,防止構造SQL
杜絕 "select * from xx where id = " & Request(id)類似語句
注意上傳文件,和備份數據功能所導致的上傳漏洞。
對不起,沒看清題目,你說的頁面上沒有代碼
那是因為,惡意攻擊者將病毒代碼,放到你資料庫里了
這種情況,自行編寫一個WEB程序,替換掉資料庫裡面的惡意代碼就可以了
㈤ 伺服器被掛馬的話,要怎麼處理
一般都是網站程序存在漏洞或者伺服器存在漏洞而被攻擊了
網站掛馬是每個網站最頭痛的問題,解決辦法:1.在程序中很容易找到掛馬的代碼,直接刪除,或則將你沒有傳伺服器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。但這不是最好的解決辦法。最好的方法還是找專業做安全的來幫你解決掉
聽朋友說 SineSafe 不錯 你可以去看看。
清馬+修補漏洞=徹底解決
所謂的掛馬,就是黑客通過各種手段,包括SQL注入,網站敏感文件掃描,伺服器漏洞,網站程序0day, 等各種方法獲得網站管理員賬號,然後登陸網站後台,通過資料庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容,向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得伺服器或者網站FTP,然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時,你就會自動的訪問被轉向的地址或者下載木馬病毒
清馬
1、找掛馬的標簽,比如有<script language="javascript" src="網馬地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=網馬地址></iframe>,或者是你用360或病殺毒軟體攔截了網馬網址。SQL資料庫被掛馬,一般是JS掛馬。
2、找到了惡意代碼後,接下來就是清馬,如果是網頁被掛馬,可以用手動清,也可以用批量清,網頁清馬比較簡單,這里就不詳細講,現在著重講一下SQL資料庫清馬,用這一句語句「update 表名 set 欄位名=replace(欄位名,'aaa','')」, 解釋一下這一句子的意思:把欄位名里的內容包含aaa的替換成空,這樣子就可以一個表一個表的批量刪除網馬。
在你的網站程序或資料庫沒有備份情況下,可以實行以上兩步驟進行清馬,如果你的網站程序有備份的話,直接覆蓋原來的文件即可。
修補漏洞(修補網站漏洞也就是做一下網站安全。)
1、修改網站後台的用戶名和密碼及後台的默認路徑。
2、更改資料庫名,如果是ACCESS資料庫,那文件的擴展名最好不要用mdb,改成ASP的,文件名也可以多幾個特殊符號。
3、接著檢查一下網站有沒有注入漏洞或跨站漏洞,如果有的話就相當打上防注入或防跨站補丁。
4、檢查一下網站的上傳文件,常見了有欺騙上傳漏洞,就對相應的代碼進行過濾。
5、盡可能不要暴露網站的後台地址,以免被社會工程學猜解出管理用戶和密碼。
6、寫入一些防掛馬代碼,讓框架代碼等掛馬無效。
7、禁用FSO許可權也是一種比較絕的方法。
8、修改網站部分文件夾的讀寫許可權。
9、如果你是自己的伺服器,那就不僅要對你的網站程序做一下安全了,而且要對你的伺服器做一下安全也是很有必要了!
網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。
您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢,您否也因為不太了解網站技術的問題而耽誤了網站的運營,您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護
㈥ 網站老是被掛馬。。掛在JS文件裡面的。。不知道怎麼回事。該如何防範別人掛馬
一般是網站程序有漏洞才會被掛js木馬的。我的網站,以前也遇到過網站被黑客掛了js木馬,搞得網站流量一下子沒了,損失太大了,心情真的沒法說了,當時被黑客掛了木馬,我把木馬代碼清除了還是被掛馬,文件還被篡改了,木馬刪都刪不掉!沒辦法 在朋友的推薦下 讓我去找sinesafe 聽說他們專業做網站安全和伺服器安全 ,找到他們後 我把情況詳細的介紹了一下,然後他們根據這個情況做了 網站防黑 防掛馬的安全方案和伺服器安全策略,直至這樣公司的網站才恢復,直到現在我的網站再也沒被黑過,再也沒被掛馬過,公司還跟sinesafe簽了2年的安全維護合同、。他們的技術真的很厲害 很專業 挺佩服的 省了我不少心。
㈦ 網站掛馬,總是掛這樣的,怎麼處理
你漏洞一直沒修復吧,建議你查找一下,是被注入了還是啥問題,修補好了,整個密碼也換下,安全問題技術不會的可代解決
㈧ 如何防止網站掛木馬
1.掛木馬可能是一種代碼,讓別人打開你的網站的同時,就會超鏈接他事先設置好的木馬上了。
2.也可能是後門,也就是別人在你的網頁漏洞中添加了可以進出的一個門,這個門你自己可能都不知道。
3.是在你的網站下必要文件下安裝木馬,掛住你的網站,使得別人啟動網站,或自己啟動時中毒。
解決辦法:
1.進行殺毒,看是否有實體木馬存在,存在的話,殺掉它。
2.代碼查看,看是否有可疑代碼,有就刪除它,這個比較麻煩,但專業製作網站的,也不是很難。
3.最簡單的辦法,用可以掃描到網站木馬的軟體,自己弄好網站後,打開,帶掃描網頁的殺毒軟體可以直接掃描到你的代碼存在的問題,可以根據提示刪除。國內軟體目前沒有,國外的有,360可以知道有木馬,但卻無法刪除,但時興的AVAST殺毒軟體可以檢測出。一般人我不告訴他。
㈨ 網站域名曾經被掛馬了該怎麼辦
網站被掛馬後的解決辦法就出來了:刪除index.asp以及style.gif文件,將indax.asp改名為index.asp。當然,刪除之前別忘記備份一下,一來可以收集一些木馬樣本研究一下,二來保留證據,回頭去網路站長平台投訴。
網站被掛馬後的必須要做的4件事:1、改網站後台地址;2、改網站後台管理用戶和密碼;3、改FTP或者遠程登錄密碼,盡量在自己能記住的范圍內設置得長一些;4、成功解決完網站被掛馬的問題後,一定要去相應的投訴平台申訴一下(如網路投訴、安全聯盟等),好讓他們知道你已經處理完這些。檢測網站是否被掛馬的5個小竅門:1、平時多site一下自己不帶3W的域名,看看有沒有被人搞惡意泛解析;2、多留心網站根目錄是否有新的異常文章生成(按文件修改時間查看);3、多用站長工具查查自己的友鏈。如果無緣無故地多出了一些鏈接,而並非自己加上的,百分之九十已經中招了;4、多看看源碼,很多低級掛碼手段掛上的黑鏈之類的在源碼中就能看出來;5、站長工具里有一個叫死鏈檢測的工具,對於檢測隱藏鏈接來說非常有用,如果檢測到了在源代碼中看不到的鏈接,百分之九十九已經被人掛馬了。5種常見的網站木馬:這里我只給出名字,具體的話請自行補腦:)1、圖片掛馬;2、框架掛馬3、js掛馬4、global.asa掛馬5、IFRAME掛馬