湖南长沙八年做网站,网络优化推广服务团队,让您小投资大回报,帮您打开网络营销财富之门!
 业务服务热线:0731-88571521  13637482004  
 


地址:长沙市韶山南路248号南园503
      室(潇湘晨报旁)
电话:0731-88571521
手机:13637482004
Q  Q:44377655 522392221
网址:www.pk0731.com
邮箱:522392221@qq.com
新闻中心
长沙做网站联系电话:0731-88571521 13637482004

网站被经常挂马的几种情况分析及解决办法

信息来源:CHINAZ   发布时间:2008-11-19   浏览:
很多站长都有网站被批量挂马的痛苦经历,轻者,替换,重则重装服务器,但是客户的流失是没法挽回的,如何在第一时间或前期做 好充分的准备呢?接下来我把经验和大家共享一下。

很多站长,一觉醒来,网站各个页面全部被挂马,手忙脚乱,经过几次以后,偶发现几种情况。

第一通过服务器WEBSHELL

进去对网站挂马的,这种情况只能是重装服务器,进行权限设置,通过这样的服务器在安全策略设置不够好,帐户的确立,补丁更新,IIS下文件夹下不同权限的访问权限,还有第三方软件的安全性设置,如SEV-U,SQLSERVER,这些在网站都可以找到的。这种情况我们基本下可以看到C盘根目录下有可执行的可疑文件,用户组多了未知用户,权限有ADMINISTRATOR权限,这时候,只能是重装,因为你的服务器被置了。

所以从最先开始重装的时候要充分考虑到权限问题。(备注:数据备份一定要有规律和及时性)

第二网站程序被注入

如SQL注入,如上传代码漏洞等。一般我们这里分二种情况。

1,网序自主开发,或是网上DOWNLOAD下加自已开发

这样程序,我们在前期开发时要充分考虑到注入与上传设置,特别网站下载下来先杀毒一遍,实在没办法的,用通用的防注入程序,然事开发好后用网站扫描工具扫描,这里面要着重注意到的是SQL数居库权限,上传文件权限,网站防注入措施,上传代码或第三方组件。这几个分面充分考虑下,如果被挂,在第一步没问题的情况下查看IIS日志,查看网站下最新更新文件及新建文件,用杀毒软件杀出可疑问件,如果是静态的可采用字符替换器进行换,完善网站程序。

2,程序是网上购买和采用第三方程序

像这样的程序一般来说没有多大问题,但是用的人多,漏洞暴光就越多,从几个成熟的产品我都经历过,这样的程序我们要做到,第一,尽量不修改原程序结构和数据结构,第二,经常关注官方更新及发布,第三,及时打补丁升级,如果您修改的多了,升级将是很麻烦的事情,像这类的程序被挂马的会,第一时间去官方查看及咨询,查看这类网站自身的日志,管理权限等方面,很多人图方便密码简单,现在会猜的人很多了。像这类网站及时打补丁,注重官方发布应该没问题。

第三,机房其他IP被攻击

我经历过几次,有几次,网页被挂马,服务器上怎么也查不出来,后来才发现,是机房其他IP中招发出的恶意攻击,及时咨询机房人员,像这类的挂马代码,通常出现在最上面。

第四,局域网中招

有时候,公司很多人都在访问网站发现中招,其实是其中有电脑中招,打开很多网站都中招,用ARP防火墙或是MAC地址查看,查到源机器,切断网线。

碰到挂马是件很烦的事情,关键是站长要及时间,冷静的分析,最快时间内解决问题。



相关热点文章


地址:湖南长沙市韶山南路248号南园503室(潇湘晨报旁)  版权所有:长沙市天心区斌网网络技术服务部
咨询电话:0731-88571521   13637482004
业务 QQ:客服一 1306053142 客服二 1320506001 技术/售后 522392221 高级顾问 44377655
服务邮箱:fanbin@binweb.cn   522392221@qq.com
官方网址:www.binweb.cn   www.pk0731.com
旗下网站:斌网网络  长沙信息处  佛佛网  晒土货网
 湘公网安备 43010302000270号  网站ICP备案号:湘ICP备13006070号-1  

在线客服1 在线客服2 技术咨询 资深顾问