很多站長(cháng),一覺(jué)醒來(lái),網(wǎng)站各個(gè)頁(yè)面全部被掛馬,手忙腳亂,經(jīng)過(guò)幾次以后,偶發(fā)現幾種情況。
第一通過(guò)服務(wù)器WEBSHELL
進(jìn)去對網(wǎng)站掛馬的,這種情況只能是重裝服務(wù)器,進(jìn)行權限設置,通過(guò)這樣的服務(wù)器在安全策略設置不夠好,帳戶(hù)的確立,補丁更新,IIS下文件夾下不同權限的訪(fǎng)問(wèn)權限,還有第三方軟件的安全性設置,如SEV-U,SQLSERVER,這些在網(wǎng)站都可以找到的。這種情況我們基本下可以看到C盤(pán)根目錄下有可執行的可疑文件,用戶(hù)組多了未知用戶(hù),權限有ADMINISTRATOR權限,這時(shí)候,只能是重裝,因為你的服務(wù)器被置了。
所以從最先開(kāi)始重裝的時(shí)候要充分考慮到權限問(wèn)題。(備注:數據備份一定要有規律和及時(shí)性)
第二網(wǎng)站程序被注入
如SQL注入,如上傳代碼漏洞等。一般我們這里分二種情況。
1,網(wǎng)序自主開(kāi)發(fā),或是網(wǎng)上DOWNLOAD下加自已開(kāi)發(fā)
這樣程序,我們在前期開(kāi)發(fā)時(shí)要充分考慮到注入與上傳設置,特別網(wǎng)站下載下來(lái)先殺毒一遍,實(shí)在沒(méi)辦法的,用通用的防注入程序,然事開(kāi)發(fā)好后用網(wǎng)站掃描工具掃描,這里面要著(zhù)重注意到的是SQL數居庫權限,上傳文件權限,網(wǎng)站防注入措施,上傳代碼或第三方組件。這幾個(gè)分面充分考慮下,如果被掛,在第一步?jīng)]問(wèn)題的情況下查看IIS日志,查看網(wǎng)站下最新更新文件及新建文件,用殺毒軟件殺出可疑問(wèn)件,如果是靜態(tài)的可采用字符替換器進(jìn)行換,完善網(wǎng)站程序。
2,程序是網(wǎng)上購買(mǎi)和采用第三方程序
像這樣的程序一般來(lái)說(shuō)沒(méi)有多大問(wèn)題,但是用的人多,漏洞暴光就越多,從幾個(gè)成熟的產(chǎn)品我都經(jīng)歷過(guò),這樣的程序我們要做到,第一,盡量不修改原程序結構和數據結構,第二,經(jīng)常關(guān)注官方更新及發(fā)布,第三,及時(shí)打補丁升級,如果您修改的多了,升級將是很麻煩的事情,像這類(lèi)的程序被掛馬的會(huì ),第一時(shí)間去官方查看及咨詢(xún),查看這類(lèi)網(wǎng)站自身的日志,管理權限等方面,很多人圖方便密碼簡(jiǎn)單,現在會(huì )猜的人很多了。像這類(lèi)網(wǎng)站及時(shí)打補丁,注重官方發(fā)布應該沒(méi)問(wèn)題。
第三,機房其他IP被攻擊
我經(jīng)歷過(guò)幾次,有幾次,網(wǎng)頁(yè)被掛馬,服務(wù)器上怎么也查不出來(lái),后來(lái)才發(fā)現,是機房其他IP中招發(fā)出的惡意攻擊,及時(shí)咨詢(xún)機房人員,像這類(lèi)的掛馬代碼,通常出現在最上面。
第四,局域網(wǎng)中招
有時(shí)候,公司很多人都在訪(fǎng)問(wèn)網(wǎng)站發(fā)現中招,其實(shí)是其中有電腦中招,打開(kāi)很多網(wǎng)站都中招,用ARP防火墻或是MAC地址查看,查到源機器,切斷網(wǎng)線(xiàn)。
碰到掛馬是件很煩的事情,關(guān)鍵是站長(cháng)要及時(shí)間,冷靜的分析,最快時(shí)間內解決問(wèn)題。