很多站長都有網(wǎng)站被批量掛馬的痛苦經(jīng)歷,輕者,替換,重則重裝服務(wù)器,但是客戶的流失是沒法挽回的,如何在第一時間或前期做 好充分的準(zhǔn)備呢?接下來我把經(jīng)驗和大家共享一下。
很多站長,一覺醒來,網(wǎng)站各個頁面全部被掛馬,手忙腳亂,經(jīng)過幾次以后,偶發(fā)現(xiàn)幾種情況。
第一通過服務(wù)器WEBSHELL
進(jìn)去對網(wǎng)站掛馬的,這種情況只能是重裝服務(wù)器,進(jìn)行權(quán)限設(shè)置,通過這樣的服務(wù)器在安全策略設(shè)置不夠好,帳戶的確立,補丁更新,IIS下文件夾下不同權(quán)限的訪問權(quán)限,還有第三方軟件的安全性設(shè)置,如SEV-U,SQLSERVER,這些在網(wǎng)站都可以找到的。這種情況我們基本下可以看到C盤根目錄下有可執(zhí)行的可疑文件,用戶組多了未知用戶,權(quán)限有ADMINISTRATOR權(quán)限,這時候,只能是重裝,因為你的服務(wù)器被置了。
所以從最先開始重裝的時候要充分考慮到權(quán)限問題。(備注:數(shù)據(jù)備份一定要有規(guī)律和及時性)
第二網(wǎng)站程序被注入
如SQL注入,如上傳代碼漏洞等。一般我們這里分二種情況。
1,網(wǎng)序自主開發(fā),或是網(wǎng)上DOWNLOAD下加自已開發(fā)
這樣程序,我們在前期開發(fā)時要充分考慮到注入與上傳設(shè)置,特別網(wǎng)站下載下來先殺毒一遍,實在沒辦法的,用通用的防注入程序,然事開發(fā)好后用網(wǎng)站掃描工具掃描,這里面要著重注意到的是SQL數(shù)居庫權(quán)限,上傳文件權(quán)限,網(wǎng)站防注入措施,上傳代碼或第三方組件。這幾個分面充分考慮下,如果被掛,在第一步?jīng)]問題的情況下查看IIS日志,查看網(wǎng)站下最新更新文件及新建文件,用殺毒軟件殺出可疑問件,如果是靜態(tài)的可采用字符替換器進(jìn)行換,完善網(wǎng)站程序。
2,程序是網(wǎng)上購買和采用第三方程序
像這樣的程序一般來說沒有多大問題,但是用的人多,漏洞暴光就越多,從幾個成熟的產(chǎn)品我都經(jīng)歷過,這樣的程序我們要做到,第一,盡量不修改原程序結(jié)構(gòu)和數(shù)據(jù)結(jié)構(gòu),第二,經(jīng)常關(guān)注官方更新及發(fā)布,第三,及時打補丁升級,如果您修改的多了,升級將是很麻煩的事情,像這類的程序被掛馬的會,第一時間去官方查看及咨詢,查看這類網(wǎng)站自身的日志,管理權(quán)限等方面,很多人圖方便密碼簡單,現(xiàn)在會猜的人很多了。像這類網(wǎng)站及時打補丁,注重官方發(fā)布應(yīng)該沒問題。
第三,機房其他IP被攻擊
我經(jīng)歷過幾次,有幾次,網(wǎng)頁被掛馬,服務(wù)器上怎么也查不出來,后來才發(fā)現(xiàn),是機房其他IP中招發(fā)出的惡意攻擊,及時咨詢機房人員,像這類的掛馬代碼,通常出現(xiàn)在最上面。
第四,局域網(wǎng)中招
有時候,公司很多人都在訪問網(wǎng)站發(fā)現(xiàn)中招,其實是其中有電腦中招,打開很多網(wǎng)站都中招,用ARP防火墻或是MAC地址查看,查到源機器,切斷網(wǎng)線。
碰到掛馬是件很煩的事情,關(guān)鍵是站長要及時間,冷靜的分析,最快時間內(nèi)解決問題。
上一條:
個人站長怎么來推廣運營地方行業(yè)站?下一條:
網(wǎng)站首頁的三個核心價值點
湘公網(wǎng)安備 43010302001803號