很多站長都有網(wǎng)站被批量掛馬的痛苦經(jīng)歷，輕者，替換，重則重裝服務(wù)器，但是客戶的流失是沒法挽回的，如何在第一時(shí)間或前期做 好充分的準(zhǔn)備呢?接下來我把經(jīng)驗(yàn)和大家共享一下。

很多站長，一覺醒來，網(wǎng)站各個(gè)頁面全部被掛馬，手忙腳亂，經(jīng)過幾次以后，偶發(fā)現(xiàn)幾種情況。

第一通過服務(wù)器WEBSHELL

進(jìn)去對(duì)網(wǎng)站掛馬的，這種情況只能是重裝服務(wù)器，進(jìn)行權(quán)限設(shè)置，通過這樣的服務(wù)器在安全策略設(shè)置不夠好，帳戶的確立，補(bǔ)丁更新，IIS下文件夾下不同權(quán)限的訪問權(quán)限，還有第三方軟件的安全性設(shè)置，如SEV-U，SQLSERVER，這些在網(wǎng)站都可以找到的。這種情況我們基本下可以看到C盤根目錄下有可執(zhí)行的可疑文件，用戶組多了未知用戶，權(quán)限有ADMINISTRATOR權(quán)限，這時(shí)候，只能是重裝，因?yàn)槟愕姆��?wù)器被置了。

所以從最先開始重裝的時(shí)候要充分考慮到權(quán)限問題。(備注:數(shù)據(jù)備份一定要有規(guī)律和及時(shí)性)

第二網(wǎng)站程序被注入

如SQL注入，如上傳代碼漏洞等。一般我們這里分二種情況。

1，網(wǎng)序自主開發(fā)，或是網(wǎng)上DOWNLOAD下加自已開發(fā)

這樣程序，我們在前期開發(fā)時(shí)要充分考慮到注入與上傳設(shè)置，特別網(wǎng)站下載下來先殺毒一遍，實(shí)在沒辦法的，用通用的防注入程序，然事開發(fā)好后用網(wǎng)站掃描工具掃描，這里面要著重注意到的是SQL數(shù)居庫權(quán)限，上傳文件權(quán)限，網(wǎng)站防注入措施，上傳代碼或第三方組件。這幾個(gè)分面充分考慮下，如果被掛，在第一步?jīng)]問題的情況下查看IIS日志，查看網(wǎng)站下最新更新文件及新建文件，用殺毒軟件殺出可疑問件，如果是靜態(tài)的可采用字符替換器進(jìn)行換，完善網(wǎng)站程序。

2，程序是網(wǎng)上購買和采用第三方程序

像這樣的程序一般來說沒有多大問題，但是用的人多，漏洞暴光就越多，從幾個(gè)成熟的產(chǎn)品我都經(jīng)歷過，這樣的程序我們要做到，第一，盡量不修改原程序結(jié)構(gòu)和數(shù)據(jù)結(jié)構(gòu)，第二，經(jīng)常關(guān)注官方更新及發(fā)布，第三，及時(shí)打補(bǔ)丁升級(jí)，如果您修改的多了，升級(jí)將是很麻煩的事情，像這類的程序被掛馬的會(huì)，第一時(shí)間去官方查看及咨詢，查看這類網(wǎng)站自身的日志，管理權(quán)限等方面，很多人圖方便密碼簡單，現(xiàn)在會(huì)猜的人很多了。像這類網(wǎng)站及時(shí)打補(bǔ)丁，注重官方發(fā)布應(yīng)該沒問題。

第三，機(jī)房其他IP被攻擊

我經(jīng)歷過幾次，有幾次，網(wǎng)頁被掛馬，服務(wù)器上怎么也查不出來，后來才發(fā)現(xiàn)，是機(jī)房其他IP中招發(fā)出的惡意攻擊，及時(shí)咨詢機(jī)房人員，像這類的掛馬代碼，通常出現(xiàn)在最上面。

第四，局域網(wǎng)中招

有時(shí)候，公司很多人都在訪問網(wǎng)站發(fā)現(xiàn)中招，其實(shí)是其中有電腦中招，打開很多網(wǎng)站都中招，用ARP防火墻或是MAC地址查看，查到源機(jī)器，切斷網(wǎng)線。

碰到掛馬是件很煩的事情，關(guān)鍵是站長要及時(shí)間，冷靜的分析，最快時(shí)間內(nèi)解決問題。

上一條： 個(gè)人站長怎么來推廣運(yùn)營地方行業(yè)站？
下一條： 網(wǎng)站首頁的三個(gè)核心價(jià)值點(diǎn)