很多站長(cháng)都有網(wǎng)站被批量掛馬的痛苦經(jīng)歷，輕者，替換，重則重裝服務(wù)器，但是客戶(hù)的流失是沒(méi)法挽回的，如何在第一時(shí)間或前期做 好充分的準備呢?接下來(lái)我把經(jīng)驗和大家共享一下。

很多站長(cháng)，一覺(jué)醒來(lái)，網(wǎng)站各個(gè)頁(yè)面全部被掛馬，手忙腳亂，經(jīng)過(guò)幾次以后，偶發(fā)現幾種情況。

第一通過(guò)服務(wù)器WEBSHELL

進(jìn)去對網(wǎng)站掛馬的，這種情況只能是重裝服務(wù)器，進(jìn)行權限設置，通過(guò)這樣的服務(wù)器在安全策略設置不夠好，帳戶(hù)的確立，補丁更新，IIS下文件夾下不同權限的訪(fǎng)問(wèn)權限，還有第三方軟件的安全性設置，如SEV-U，SQLSERVER，這些在網(wǎng)站都可以找到的。這種情況我們基本下可以看到C盤(pán)根目錄下有可執行的可疑文件，用戶(hù)組多了未知用戶(hù)，權限有ADMINISTRATOR權限，這時(shí)候，只能是重裝，因為你的服務(wù)器被置了。

所以從最先開(kāi)始重裝的時(shí)候要充分考慮到權限問(wèn)題。(備注:數據備份一定要有規律和及時(shí)性)

第二網(wǎng)站程序被注入

如SQL注入，如上傳代碼漏洞等。一般我們這里分二種情況。

1，網(wǎng)序自主開(kāi)發(fā)，或是網(wǎng)上DOWNLOAD下加自已開(kāi)發(fā)

這樣程序，我們在前期開(kāi)發(fā)時(shí)要充分考慮到注入與上傳設置，特別網(wǎng)站下載下來(lái)先殺毒一遍，實(shí)在沒(méi)辦法的，用通用的防注入程序，然事開(kāi)發(fā)好后用網(wǎng)站掃描工具掃描，這里面要著(zhù)重注意到的是SQL數居庫權限，上傳文件權限，網(wǎng)站防注入措施，上傳代碼或第三方組件。這幾個(gè)分面充分考慮下，如果被掛，在第一步?jīng)]問(wèn)題的情況下查看IIS日志，查看網(wǎng)站下最新更新文件及新建文件，用殺毒軟件殺出可疑問(wèn)件，如果是靜態(tài)的可采用字符替換器進(jìn)行換，完善網(wǎng)站程序。

2，程序是網(wǎng)上購買(mǎi)和采用第三方程序

像這樣的程序一般來(lái)說(shuō)沒(méi)有多大問(wèn)題，但是用的人多，漏洞暴光就越多，從幾個(gè)成熟的產(chǎn)品我都經(jīng)歷過(guò)，這樣的程序我們要做到，第一，盡量不修改原程序結構和數據結構，第二，經(jīng)常關(guān)注官方更新及發(fā)布，第三，及時(shí)打補丁升級，如果您修改的多了，升級將是很麻煩的事情，像這類(lèi)的程序被掛馬的會(huì )，第一時(shí)間去官方查看及咨詢(xún)，查看這類(lèi)網(wǎng)站自身的日志，管理權限等方面，很多人圖方便密碼簡(jiǎn)單，現在會(huì )猜的人很多了。像這類(lèi)網(wǎng)站及時(shí)打補丁，注重官方發(fā)布應該沒(méi)問(wèn)題。

第三，機房其他IP被攻擊

我經(jīng)歷過(guò)幾次，有幾次，網(wǎng)頁(yè)被掛馬，服務(wù)器上怎么也查不出來(lái)，后來(lái)才發(fā)現，是機房其他IP中招發(fā)出的惡意攻擊，及時(shí)咨詢(xún)機房人員，像這類(lèi)的掛馬代碼，通常出現在最上面。

第四，局域網(wǎng)中招

有時(shí)候，公司很多人都在訪(fǎng)問(wèn)網(wǎng)站發(fā)現中招，其實(shí)是其中有電腦中招，打開(kāi)很多網(wǎng)站都中招，用ARP防火墻或是MAC地址查看，查到源機器，切斷網(wǎng)線(xiàn)。

碰到掛馬是件很煩的事情，關(guān)鍵是站長(cháng)要及時(shí)間，冷靜的分析，最快時(shí)間內解決問(wèn)題。

上一條： 個(gè)人站長(cháng)怎么來(lái)推廣運營(yíng)地方行業(yè)站？
下一條： 網(wǎng)站首頁(yè)的三個(gè)核心價(jià)值點(diǎn)