Categories

Tags

[分享]云服务器挂马清理实例

网站通过百度搜索访问,会跳转到异常网站。

经过仔细分析、核实,确定是被挂马造成,但网页源文件中、使用安全工具扫描都没有发现异常代码。

新建空文件1.html,使用工具测试也显示挂马,说明是系统层面问题。

1.png

经查看站点设置等信息,发现iis站点》模块被加入了异常dll,如图

2.png

3.png

根据经验,%windir%开头的路径是系统自动加的,理论上没有问题;如果是c:\windows要重点核实。

4.png

5.png

经过分析,此文件是木马病毒文件。

删除模块加载,并删除文件,重启iis后测试,挂马消失。

经分析,黑客主要是利用了windows系统安全漏洞,进而对系统造成了一些破坏。

目前主要windows2008、windows2012系统存在问题,如使用这两个系统的用户,强烈建议升级为windows2016,具体操作参考:https://www.west.cn/faq/list.asp?unid=2446

或新购买一台同机房同配置云服务器,安装2016系统,自行迁移数据到新服务器,然后提交工单平移时间到新服务器。

安全设置

如暂时不能升级,请做必要的安全设置。

1.安装杀毒软件或安全控制软件,比如云锁。

2.使用独立用户进程池。(使用我司建站助手建立站点即可)

3、取消dcom

windows管理工具》组件服务》我的电脑右键属性》默认属性》在此计算机上启用分布式COM的勾取消。如果默认没有勾中不用做处理。

6.png

4.替换身份令牌取消所有池用户包括iis_users组。

windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限

8.png

5.身份模拟取消所有池用户包括iis_users组

windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限

9.png

这是临时的安全设置,无法确保长久的安全,建议尽快升级为windows2016系统才能彻底解决问题。

来源:西部数码


 Public @ 2013-05-10 15:37:40

服务器注册dll组件方法

1. 打开命令提示符:在Windows搜索栏中输入“cmd”,右键单击“命令提示符”并选择“以管理员身份运行”。 2. 输入regsvr32命令及文件路径:在命令提示符中输入“regsvr32”命令以及需要注册的DLL文件路径,例如:regsvr32 C:\Windows\System32\File.dll。 3. 按下回车键:按下回车键后,系统将会执行注册操作,并弹出相应的提示消息。 4.

 Public @ 2023-05-31 08:00:09

应用程序池被禁用WAS启动进程失败解决办法

出现应用程序池被禁用WAS启动进程失败的情况,可能是由于应用程序池的设置不正确或者应用程序池被禁用了所引起的,解决方法如下: 1.打开Internet Information Services(IIS)管理器,找到应用程序池。 2.选中应用程序池,右键点击“高级设置”。 3.在“进程模型”中,找到“启用32位应用程序”选项,如果已选中,就取消它的勾选。 4.保存设置后,重新启动IIS服务即

 Public @ 2023-06-26 08:50:11

虚拟主机/数据库中挂马清理方法

虚拟主机/数据库中挂马清理方法浏览器输入域名打开网页后,点击空白处,鼠标右键,查看源码/查看源文件;若程序禁止了鼠标右键,点击浏览器上的工具-查看源码(ie浏览器-页面-查看源码)查看源码底部有如下截图的链接1.jpg或者11.jpg进入业务管理-虚拟主机管理-管理-文件管理,点击wwwroot进入,找到您的首页,如index.html,index.php,default.asp,home.htm

 Public @ 2018-06-12 15:37:41

如何预防和检测网页挂马?

(1)通过安全扫描工具或静态代码分析工具对网页源代码进行扫描,检测出潜在的攻击代码。 (2)通过一定的安全策略来防止黑客在网页端植入病毒或挂马。比如文件上传功能限制,禁止在网页端运行脚本语言,网站管理员加强审查等。 (3)网站管理员也可以经常对网页源代码进行扫描,及时发现潜在的安全风险,以免受到意外的攻击。 (4)正确安装和配置权限,以减少攻击者的控制幅度,及时给予安全补丁,以免受到攻击

 Public @ 2023-02-25 19:36:25

更多您感兴趣的搜索

0.415452s