伺服器有木馬怎麼處理

Ⅰ 伺服器病毒木馬不斷，高分請教解決辦法！

隨著Internet互聯網路帶寬的增加和多種DDOS黑客工具的不斷發布，DDOS拒絕服務攻擊的實施越來越容易，DDOS攻擊事件正在成上升趨勢。出於商業競爭、打擊報復和網路敲詐等多種因素，導致很多IDC託管機房、商業站點、游戲伺服器、聊天網路等網路服務商長期以來一直被DDOS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題，因此，解決DDOS攻擊問題成為網路服務商必須考慮的頭等大事。
二、什麼是DDOS？
DDOS是英文Distributed Denial of Service的縮寫，意即「分布式拒絕服務」，那麼什麼又是拒絕服務（Denial of Service）呢？可以這么理解，凡是能導致合法用戶不能夠訪問正常網路服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網路資源的訪問，從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側重於通過很多「僵屍主機」（被攻擊者入侵過或可間接利用的主機）向受害主機發送大量看似合法的網路包，從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務，分布式拒絕服務攻擊一旦被實施，攻擊網路包就會猶如洪水般湧向受害主機，從而把合法用戶的網路包淹沒，導致合法用戶無法正常訪問伺服器的網路資源，因此，拒絕服務攻擊又被稱之為「洪水式攻擊」，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側重於通過對主機特定漏洞的利用攻擊導致網路棧失效、系統崩潰、主機死機而無法提供正常的網路服務功能，從而造成拒絕服務，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防範，至於DOS攻擊，通過給主機伺服器打補丁或安裝防火牆軟體就可以很好地防範，後文會詳細介紹怎麼對付DDOS攻擊。
三、被DDOS了嗎？
DDOS的表現形式主要有兩種，一種為流量攻擊，主要是針對網路帶寬的攻擊，即大量攻擊包導致網路帶寬被阻塞，合法網路包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網路服務。
如何判斷網站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發現Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽，否則可採取Telnet主機伺服器的網路服務埠來測試，效果是一樣的。不過有一點可以肯定，假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的，突然都Ping不通了或者是嚴重丟包，那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現象是，一旦遭受流量攻擊，會發現用遠程終端連接網站伺服器會失敗。
相對於流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主機和訪問網站都是正常的，發現突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在伺服器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是，Ping自己的網站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的伺服器則正常，造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。
當前主要有三種流行的DDOS攻擊：
1、SYN/ACK Flood攻擊：
這種攻擊方法是經典最有效的DDOS方法，可通殺各種系統的網路服務，主要是通過向受害主機發送大量偽造源IP和源埠的SYN或ACK包，導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務，由於源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵屍主機支持。少量的這種攻擊會導致主機伺服器無法訪問，但卻可以Ping的通，在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，並會出現系統凝固現象，即不響應鍵盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。
2、TCP全連接攻擊：
這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力，但對於正常的TCP連接是放過的，殊不知很多網路服務程序（如：IIS、Apache等Web伺服器）能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量的TCP連接，直到伺服器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多僵屍主機，並且由於僵屍主機的IP是暴露的，因此容易被追蹤。
3、刷Script腳本攻擊：
這種攻擊主要是針對存在ASP、JSP、php、CGI等腳本程序，並調用MSSQLServer、MySQLServer、Oracle等資料庫的網站系統而設計的，特徵是和伺服器建立正常的TCP連接，並不斷的向腳本程序提交查詢、列表等大量耗費資料庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的，而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的資料庫伺服器很少能支持數百個查詢指令同時執行，而這對於客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機伺服器大量遞交查詢指令，只需數分鍾就會把伺服器資源消耗掉而導致拒絕服務，常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接資料庫失敗、資料庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些Proxy會暴露攻擊者的IP地址。
四、怎麼抵禦DDOS？
對付DDOS是一個系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當的措施抵禦90%的DDOS攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將無法繼續下去而放棄，也就相當於成功的抵禦了DDOS攻擊。以下為筆者多年以來抵禦DDOS的經驗和建議，和大家分享！
1、採用高性能的網路設備
首先要保證網路設備不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用，因為採用此技術會較大降低網路通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網路包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。
3、充足的網路帶寬保證
網路帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論採取什麼措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主幹上了。但需要注意的是，主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等於就有了百兆的帶寬，因為網路服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。
4、升級主機伺服器硬體
在有網路帶寬保證的前提下，請盡量提升硬體配置，要有效對抗每秒10萬個SYN攻擊包，伺服器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，若有志強雙CPU的話就用它吧，內存一定要選擇DDR的高速內存，硬碟要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5、把網站做成靜態頁面
大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現在為止關於HTML的溢出還沒出現，看看吧！新浪、搜狐、網易等門戶網站主要都是靜態頁面，若你非需要動態腳本調用，那就把它弄到另外一台單獨主機去，免的遭受攻擊時連累主伺服器，當然，適當放一些不做資料庫調用腳本還是可以的，此外，最好在需要調用資料庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬於惡意行為。
6、增強操作系統的TCP/IP棧
Win2000和Win2003作為伺服器操作系統，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵禦數百個，具體怎麼開啟，自己去看微軟的文章吧！《強化 TCP/IP 堆棧安全》。也許有的人會問，那我用的是Linux和FreeBSD怎麼辦？很簡單，按照這篇文章去做吧！《SYN Cookies》

Ⅱ 網站中病毒或者有木馬怎麼處理

網站其實本身肯定是不會中病毒的，只能是伺服器裡面存儲的藍本文件裡面比如說某些圖片和下載文件裡面會存在木馬病毒，而遇到了木馬病毒後最好的辦法自然就是想辦法給電腦殺毒了，可以用電腦管家的病毒查殺功能，在伺服器裡面找出病毒查殺了，就行了。

Ⅲ 電腦有木馬怎麼處理

1，因為頑固木馬很多都是蠕蟲病毒的一種，寄宿在一些核心文件內，我們一般正常情況下殺毒軟體也很難將其找出清理

【注意事項】

1，電腦木馬病毒是需要經常查殺才可以的

2，定期查殺電腦木馬病毒，可以避免電腦被病毒危害

Ⅳ 伺服器中木馬的解決辦法

把系統補丁 更新 到最新 如果是 sql sever 資料庫 修改 資料庫 默認埠 掃描本機 不安全埠 如果 有網站 看看 是不是 網站 有漏洞 網站程序 是否被修改過 xp可以用 魔法盾 禁止創建 exe文件 不知道 2003 可不可以 殺毒軟體用 小紅傘 靈敏高 缺點 誤報高 如果2003 支持魔法盾 就 可以自己制定 安全策略 刪除 cmd.exe

Ⅳ 如何徹底清理木馬病毒

木馬病毒.建議下載安裝木馬專殺工具:

1. 木馬剋星iparmor 5.47 build 0714 簡體版 。
木馬剋星乃本站原創反黑客－殺木馬工具，可以查殺8122種國際木馬，1053種密碼偷竊木馬。

2. 木馬剋星(iparmor) V5.47 Build 0714 。
木馬剋星是專門針對國產木馬的軟體，本軟體是動態監視。

3. 木馬剋星 5.47 build 0710 通過對179種黑客程序的跟蹤觀察，經過對6種經典木馬源代碼的詳細分析，終於找到了黑客。

4. iparmor 木馬剋星 簡體中文 5.47 Build 0714 採用純動態監視網路連接技術，可以有效查殺目前絕大多數黑客程序 。

5. 木馬清除大師BeatTrojan V2.35 Build 0531 BeatTrojan是Lofocus安全實驗室為網路游戲愛好者。

6. Anti-Hacker&Trojan Expert(反黑客木馬專家) 2003 Build 1.6 反黑客專家能智能檢測和清除超過12000多種黑客程序和木馬程序。

7. 木馬分析專家 2005 V6.73 木馬分析專家能自動分析、終止可疑進程、窗體類型及木

8. 木馬終結者 V2.7 特洛伊木馬病毒一種破壞力十分強的黑客病毒。

9. 金山木馬專殺 下載版

Ⅵ 管理員發現伺服器上有被人遠程安裝木馬的痕跡,那麼他應該怎麼做

做法如下：
他會先排查是否被人安裝了木馬，之後如果被人安裝木馬，會立刻清除，如果造成金錢的損失，他會查詢來源和上報，由公司決定是否對其進行報警處理

Ⅶ 伺服器上有木馬怎麼解決啊急!~

一、備份重要文件、數據後重裝。
1、解釋：很明顯，你的伺服器被人非法登錄（入侵）。入侵後黑客可做的事很多，比如植入遠程式控制制、遠程上傳下載類程序等。 故此，不要去想著如何清理。伺服器的安全是非常重要的。
2、重裝時，請選用比較新的伺服器操作系統，在當前應選擇windows 2003或windows 2008。
3、請使用可靠的win版本，千萬不要使用所謂的「xxx專版」或「xxx免激活版」。如果你購買了正版，請使用正版，如果沒有購買正版，可以考慮使用伺服器品牌對應的OEM版或改伺服器的BIOS偽裝成某品版的機器後安裝對應的OEM版（僅win2003有效）。
4、安裝伺服器時一定不要使用伺服器上已存在任何文件，伺服器C盤在安裝過程中直接刪去分區後重分。其它盤在安裝過程中不要打開以防止「雙擊盤符便自動運行類病類」，並自個去網上查一下此類病毒的相關防護和處理辦法（可以很方便地手工處理掉）（當然，你的機器上很可能沒有，只是小心為好）。驅動請從可靠來源盤安裝（比如正版光碟、隨機光碟，或對無毒的機器上下載後刻錄盤）。
5、安裝完系統後不要訪問任何不可靠網站，第一時間使用windows updata升級windows，完成所有可升級補丁後，對系統分區進行鏡像備份。對於伺服器來說，當前最可靠的還是在DOS下使用ghost進行系統備份。
6、加裝殺毒軟體、正確設定你的伺服器的工作狀態後，再一次使用ghost進行系統備份。伺服器的網站目錄、數據目錄不應存在於系統分區，且應對它們進行每日備份。
7、在這里個人推薦Mcafee 8.7i。

二、安裝、並設定好防火牆。
1、安裝軟體防火牆，使你的伺服器的外聯只開放最必要的埠。 個人推薦Mcafee的防火牆。
2、最好安裝硬體防火牆，如果經濟條件不足，至少買一個比較好的soho級的路由器(價格只需二百元左右)，並使用埠印射來向外提供服務，這樣，伺服器就不直接與外界聯通，黑客想單方面從外部攻入是非常難的。

三、控制好伺服器硬碟的讀寫權，及網站讀寫權。
1、如果是win系的伺服器，請一定使用NTFS，系統分區使用默認讀寫權（不要去修改），其它分區加上Users組的可讀寫權，並向下繼承。
2、網站文件、數據文件不要放在「我的文檔」中。
3、關閉所有網站的可持行權！除非你非常確信你在幹嘛。

四、特別提示：伺服器的管理員口令請全部更換，不要用原來的！

五、對於你的網頁掛馬，最簡單的做法是將重要數據留下，所有的網頁文件全更換為干凈的。

六、對於網頁掛馬，當前最常用的方式是：伺服器系統漏洞（從你的說法來看這是最可能的）、SQL注入（請升級你的資料庫伺服器到最新）。

Ⅷ 伺服器被中了木馬,如何清除

這是一種典型的掛馬，黑客將你的伺服器攻陷後(有時甚至不用攻陷），通過修改你網站代碼，來達到抓肉雞，賺取點擊量或者其他什麼目的。
首先，第一次出現的代碼是比較原始的窗口彈出（就是將"http://iisa1.eyesir.net:7777/gethostjs.php"中的廣告以窗口方式彈出）而第二次的代碼是經過修改的（實際上也是達到同樣的目的，但通過修改代碼，用等價代碼替換，可以繞過殺軟的查殺,但慶幸的是最後還是被查殺了）
要做到這個其實不難，這個黑客最有可能是通過注入，得到網站後台密碼，再上傳木馬，得到webshell，在通過webshell來上傳修改過的網站源碼。另外，跨站方式也是有可能的，如果你的伺服器有多個網站，黑客就可以通過別的網站來控制伺服器，進而修改你的網站。還有其他方式比如弱口令等，但概率不大。
我推薦你一個黑客工具：啊D，你到網上搜一下，下載下來，可以用它來檢測你的網站是否有注入漏洞。
最後提醒你一句：自從出現了黑客，網站都沒有絕對安全。既然黑客已經入侵了你的伺服器，說明你的網站絕對有漏洞，要盡快修補。還有，按照慣例，黑客入侵後一般會在伺服器中留後門或是木馬（而且很有可能經過免殺，殺軟查不出來），你即使將剛才幾個東西刪除了，黑客還有可能卷土重來。最後，即將廣告代碼刪了，保不齊黑客還會在伺服器中留其他掛馬語句（而且被修改的更變態，殺軟無法查出,或是這句掛馬語句不是用來彈窗的，而是用來植入木馬的，這種掛馬如果做得好根本沒有任何外在表現）
祝你好運。
（純手工答復）

Ⅸ 伺服器被木馬攻擊怎麼辦

目前比較流行的ASP木馬主要通過三種技術來進行對伺服器的相關操作。
一、使用FileSystemObject組件
FileSystemObject可以對文件進行常規操作
可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名為其它的名字，如：改為FileSystemObject_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
也可以將其刪除，來防止此類木馬的危害。
注銷此組件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
禁止Guest用戶使用scrrun.dll來防止調用此組件。
使用命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests
二、使用WScript.Shell組件
WScript.Shell可以調用系統內核運行DOS基本命令
可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。
HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字，如：改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值
也可以將其刪除，來防止此類木馬的危害。
三、使用Shell.Application組件
Shell.Application可以調用系統內核運行DOS基本命令
可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名為其它的名字，如：改為Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
也可以將其刪除，來防止此類木馬的危害。
禁止Guest用戶使用shell32.dll來防止調用此組件。
使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests
註：操作均需要重新啟動WEB服務後才會生效。
四、調用Cmd.exe
禁用Guests組用戶調用cmd.exe
cacls C:\WINNT\system32\Cmd.exe /e /d guests
通過以上四步的設置基本可以防範目前比較流行的幾種木馬，但最有效的辦法還是通過綜合安全設置，將伺服器、程序安全都達到一定標准，才可能將安全等級設置較高，防範更多非法入侵。

Ⅹ 怎麼清除伺服器上的隱藏木馬病毒

你可以下載一款殺毒軟體殺毒，比如騰訊電腦管家
打開騰訊電腦管家--閃電殺毒--全盤掃描--完成
騰訊電腦管家應用了具有「自學習能力」的自研第二代「鷹眼」引擎，
業界首創將CPU虛擬執行技術運用到殺毒軟體中，
能夠根除頑固病毒、大幅度提升深度查殺能力，
並且大大降低了殺毒軟體對用戶電腦系統資源的佔用率。
同時，沿用「4+1」多引擎架構保證了騰訊電腦管家病毒查殺的穩定性。