Categories


Tags


[分享]云服务器挂马清理实例

网站通过百度搜索访问,会跳转到异常网站。

经过仔细分析、核实,确定是被挂马造成,但网页源文件中、使用安全工具扫描都没有发现异常代码。

新建空文件1.html,使用工具测试也显示挂马,说明是系统层面问题。

1.png

经查看站点设置等信息,发现iis站点》模块被加入了异常dll,如图

2.png

3.png

根据经验,%windir%开头的路径是系统自动加的,理论上没有问题;如果是c:\windows要重点核实。

4.png

5.png

经过分析,此文件是木马病毒文件。

删除模块加载,并删除文件,重启iis后测试,挂马消失。

经分析,黑客主要是利用了windows系统安全漏洞,进而对系统造成了一些破坏。

目前主要windows2008、windows2012系统存在问题,如使用这两个系统的用户,强烈建议升级为windows2016,具体操作参考:https://www.west.cn/faq/list.asp?unid=2446

或新购买一台同机房同配置云服务器,安装2016系统,自行迁移数据到新服务器,然后提交工单平移时间到新服务器。

安全设置

如暂时不能升级,请做必要的安全设置。

1.安装杀毒软件或安全控制软件,比如云锁。

2.使用独立用户进程池。(使用我司建站助手建立站点即可)

3、取消dcom

windows管理工具》组件服务》我的电脑右键属性》默认属性》在此计算机上启用分布式COM的勾取消。如果默认没有勾中不用做处理。

6.png

4.替换身份令牌取消所有池用户包括iis_users组。

windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限

8.png

5.身份模拟取消所有池用户包括iis_users组

windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限

9.png

这是临时的安全设置,无法确保长久的安全,建议尽快升级为windows2016系统才能彻底解决问题。

来源:西部数码


Public @ 2013-05-10 15:37:40

快云vps怎么使用系统快照?

1、快照是系统盘的某个点及时恢复的复本。系统崩溃或系统异常时,可以通过使用快照恢复到上一个时间点的系统。2、步骤:来到会员中心→找到产品中心的“快云VPS”→点击“管理”→来到自助管理平台→点击“系统快照”,即可进入快照功能,进行添加快照操作或者对已添加的快照进行管理。注:“添加快照”可将环境配置好的系统做个备份,等系统出现问题或者想恢复时随时点“快照管理”中的“快照恢复”即可。来源:景安

Public @ 2022-01-02 16:13:14

Windows操作系统远程登陆和修改远程端口号教程

远程登录 Windows 操作系统: 1. 打开远程登录软件,如:Windows 自带的远程桌面连接。在“远程桌面连接”中输入要远程登录的计算机的 IP 地址或地址。 2. 在出现的窗口中输入登录用户的名称和密码,然后点击“连接”按钮,就可以远程登录了。 修改远程控制端口号: 1. 在被控制端计算机中打开“控制面板”。 2. 点击“系统和安全”选项。 3. 点击“Windows 防火墙”选

Public @ 2023-04-05 05:00:13

如何查看网站是否被挂木马?

在21世纪互联网今天,很多的企业最不愿意看到的就是自己花费心思建设的官方网站,在还没有为企业赢得一定的利润之前,就应该被挂木马,并且据天津网站建设-文率科技了解,目前很多的企业对于网站建设并不了解,不知道如何监测和预防木马的出现,为此,文率小编今天特意为大家总结一些关于网站监测木马的方式,希望能够更好的帮助您运营企业网站。一、在线监测从事SEO优化工作的站长应该都清楚,如果在搜索引擎框框内输入si

Public @ 2016-08-27 15:37:43

虚拟主机/数据库中挂马清理方法

虚拟主机/数据库中挂马清理方法浏览器输入域名打开网页后,点击空白处,鼠标右键,查看源码/查看源文件;若程序禁止了鼠标右键,点击浏览器上的工具-查看源码(ie浏览器-页面-查看源码)查看源码底部有如下截图的链接1.jpg或者11.jpg进入业务管理-虚拟主机管理-管理-文件管理,点击wwwroot进入,找到您的首页,如index.html,index.php,default.asp,home.htm

Public @ 2018-06-12 15:37:41

更多您感兴趣的搜索

0.615223s