检测网站是否含有木马的方法及处理措施
偶然的一个清早尝试打开了公司的网站,准备查询产品,输入编号后点击查询,查询结果能够出现,当点击查询结果明细的时候,被跳转到了一个非公司的网站链接,经过灵点网络深圳网站建设公司技术部排查,该客户的网站程序为ASP,程序被入侵放置了ASP木马,黑客通过ASP木马修改源程序并在根目录放置了伪静态规则,原理就是通过伪静态规则做判断,做了跳转。
一、找到木马位置
首先你要找到木马的位置,理由很简单,找出来查看一下木马程序的种类,以及它的调用方法。需要做三个动作:
1、需要对比你的服务器里每个硬盘文件,有陌生的文件或者隐藏文件、无权限文件,第一时间锁定;
2、需要检查IIS日志以及服务器日志,查看哪些攻击行为或不正常行为,锁定木马程序的入侵时间、IP和路径等;
3、利用安全杀毒软件查杀一遍服务器,检测木马存在的位置等。
二、解决问题
锁定了木马存储位置,又找到了木马通过什么方式被注入的,那么下一步就是要系统解决问题了。正常要做好如下几个步骤:
1、更新程序代码,积极修复代码漏洞,加强代码里的安全防护,可以写入一些命令,防止调用、上传和植入等,然后备份修改好的代码,存留在本地或数据盘;
2、服务器进行格式化重装系统,坚决不留任何系统痕迹,也不要选择目前云主机使用的镜像数据重装。且安装纯净版最好,如果需要搭配SQL、MYSQL数据库,那就安装,不需要的情况下数据库软件不安装;
3、服务器系统重装完成后,第一时间修改成复杂的端口号和远程密码,然后进入里面安装安全软件,并为服务器配置好安全权限(内容较多,包含:各类端口号设置、权限配置、防火墙设置、注册表编辑权限设置等等,请专业技术处理),最后上传网站数据;
4、搭配网站环境,除了要给网站足够的访问权限和80端口,还要对代码文件夹进行安全设置,例如:写入权限、读写权限,以及部分文件属性只给“只读”。另外对于网站的解析,最好可以加入百度云解析,这样不会锁定服务器IP。
5、修改数据库密码、网站后台目录及管理员和密码
6、有条件的服务器增加木马防护软件
做完这些,基本上就可以杜绝出现刚刚总是复发的木马病毒了。
总之,服务器中木马还是挺麻烦的,我们不仅仅要找出木马,还需要根治,那就需要完成所有的步骤,找出问题并合理解决问题。因此,如果服务器中木马了,不要抱着侥幸心理处理掉木马就行,或者直接重置系统上传网站代码了事,要从根本解决问题。