【导语】“俊俊子”通过精心收集,向本站投稿了5篇网站服务器一直被挂马的解决办法WEB安全,以下是小编为大家整理后的网站服务器一直被挂马的解决办法WEB安全,希望对大家有所帮助。
篇1:网站服务器一直被挂马的解决办法WEB安全
网站服务器总是被挂木马,网站的头部被注入了大量的js代码,弄了好久终于解决了,问题的根源是在配置lampp服务器的时候,为了简单方便,给网站根目录赋予了777权限,给了 可趁之机。解决问题的思路就是把权限配置合理。具体方法如下:
1.重新安装linux系统:后台选择32bit ubunt
2.下载xampp服务器: wget url
3.解压xampp: tar xvfz xampp-linux-1.7.3a.tar.gz -C /opt
备注:压缩文件用tar -zcvf ***.tar.gz 文件夹
4.启动服务器:/opt/lampp/lampp start
5.设置安全密码:/opt/lampp/lampp security
6.从其他服务器上拷贝备份文件:scp root@ip:文件位置/文件名 文件名(文件已经备份过)
7.恢复etc/extra/httpd-vhosts.conf,
8.修改extra/httpd.conf,最后一行加入httpd-vhosts.conf
9.修改数据库导入数据文件大小的限制:extra/php.ini
10.新建用户:adduser ×××
11.新建用户组:addgroup ×××
12.给已有的用户增加工作组 usermod -G groupname username
13.改变htdocs文件夹下网站所属用户 chown -R user file,以此用户名和密码来登录FTP,
14.改变网站中上传图片目录的权限为777:chmod -R 777 图片文件夹
篇2:网站被挂马后的解决办法
前言
最近貌似网站被挂马或者遭到攻击的情况似乎很严重,前些时候刚说完“网站被恶意泛解析的解决办法”之后,今天我们雅然SEO培训又有一个已经毕业的学员在VIP群里呼救:网站被挂马了!具体表现是,在QQ上给人发网址时,会出现一个危险网站的提示,
非常奇怪的是,网站能正常打开,查看源代码也没发现什么异常之处,site一下不带3W的域名,也没有发现最近非常流行的被恶意泛解析的结果。
可是当我们拿站长工具查该网站的信息时,发现了异常:网站标题被改成了 方面的内容。
可是打开网站首页后看源码,标题还是原来正常的标题,难道是蜘蛛看到的跟我们看到内容不一样吗?所谓的蜘蛛劫持?
于是我又请出站长工具的另一个神器:搜索引擎模拟工具。能过该工具的检测,更进一步验证了我的猜想。
因为是ASP的网站,立即想到的是会不会空间被人插入了恶意的global.asa木马?连上FTP一眼就看出了端倪:网站根目录多了一个indax.asp文件,
打开这个indax.asp文件一看,居然是原来那个正常的网站的首页。原来是首页文件被人调了包呀!打开那个被垃圾index.asp文件一看,全是 类的信息。
可是有个问题不知道大家看出来没?这个垃圾页面怎么能返回正常的页面呢?在仔细检查了index.asp这个文件后,我才看出来紧跟着标签之后多了一行代码,这不是JS文件的调用方式么?怎么成了gif文件了?难道中了传说中的图片木马?
用词本打开style.gif后,病毒代码终于暴露出来了!
看到这里,懂代码的朋友可能就明白了。如果判断是蜘蛛来路的时候就返回839955。com这个网站,如果是人正常访问的话,就返回被篡改的首页indax.asp文件。
这次挂马的手法其实挺一般的,比查织梦的木马简单多了!可是如果是新手的话,还是有些难度的。当然,我们得感谢站长之家能提供这么好的工具来协助我们揪出木马。站长工具里有很多好玩的小工具,平时有时间时可以一个个都试下,知识了解得越多,解决问题时才能得心应手。
原因找到之后,本次网站被挂马后的解决办法就出来了:删除index.asp以及style.gif文件,将indax.asp改名为index.asp,
当然,删除之前别忘记备份一下,一来可以收集一些木马样本研究一下,二来保留证据,回头去百度站长平台投诉。
照例要总结一下:)
网站被挂马后的必须要做的4件事:
1、改网站后台地址;
2、改网站后台管理用户和密码;
3、改FTP或者远程登录密码,尽量在自己能记住的范围内设置得长一些;
4、成功解决完网站被挂马的问题后,一定要去相应的投诉平台申诉一下(如百度投诉、安全联盟等),好让他们知道你已经处理完这些。
检测网站是否被挂马的5个小窍门:
1、平时多site一下自己不带3W的域名,看看有没有被人搞恶意泛解析;
2、多留心网站根目录是否有新的异常文章生成(按文件修改时间查看);
3、多用站长工具查查自己的友链。如果无缘无故地多出了一些链接,而并非自己加上的,百分之九十已经中招了;
4、多看看源码,很多低级挂码手段挂上的黑链之类的在源码中就能看出来;
5、站长工具里有一个叫死链检测的工具,对于检测隐藏链接来说非常有用,如果检测到了在源代码中看不到的链接,百分之九十九已经被人挂马了。
5种常见的网站木马:
这里我只给出名字,具体的话请自行补脑:)
1、图片挂马;
2、框架挂马
3、js挂马
4、global.asa挂马
5、IFRAME挂马
最后再嗦一句:作为一个站长,所需要了解的知识是非常多的,比如网站安全这块儿,有时间多上乌云网站看看最新的漏洞以及解决办法,会让你学会不少的知识。
篇3:网站挂马
实现在很多人说到挂马,还是比较担心自己的安全,毕竟现在太多的牛人来打造免杀木马,但是我却不把这些木马放在眼里,为什么?听我细细道来,一个木马下载到本地,运行并且关联到注册表中,前提还是一个权限问题,其实很多木马本身就不具备权限这个概念,完全是依赖你系统用户的权限来运行,调用木马的用户具备什么权限那么木马本身就具备什么权限,这个道理我想大家都明白吧,
这里牵扯到一个权限依赖的问题,举个简单的例子,一个恶意网页,用一个具有管理员权限的用户去访问马上就中,但是用一个游客用户去访问却什么事都没有,这就是所谓的权限依赖问题。
大家现在应该清楚我不怕网站挂马的原因了吧,就是利用权限来防御,我在这里建议大家上网时最好不要用具有管理员权限的用户,但是你硬要使用也可以,但是你要设置一番,设置两个具有管理员权限的用户,一个用来安装程序,一个用来上网,安装程序的那个用户不用设置什么权限,但是上网的这个用户却要好好设置一番了,Windows目录(只是windows本身的目录不包括子目录)及system和system32目录设置上网的那个用户只具备读取权限,这个用意我想大家都清楚吧,然后是注册表的权限,设置注册表权限也是一个重点。
注意:2000的注册表权限设置和XP/2003不一样。另外还有一些键值。
HKEY_CLASSES_ROOT \\exefile \\shell \\open \\command
HKEY_CLASSES_ROOT \\txtfile \\shell \\open \\command
HKEY_CLASSES_ROOT \\inffile \\shell \\open \\command
HKEY_CLASSES_ROOT \\inifile \\shell \\open \\command
以上4个键值是一些常用文件的关联
HKEY_LOCAL_MACHINE \\SOFTWARE \\Microsoft \\Windows \\CurrentVersion \\Explorer \\Advanced \\Folder \\Hidden \\SHOWALL
这个键值是关于系统隐藏属性的
HKEY_CURRENT_USER \\Software \\Microsoft \\Internet Explorer \\Main
HKEY_LOCAL_MACHINE \\SOFTWARE \\Microsoft \\Internet Explorer \\Main
这两个键值是系统默认主页的
HKEY_USERS \\.DEFAULT \\Software \\Policies \\Microsoft \\Internet Explorer \\Control Panel
这个键值是关于使更改默认主页按钮为灰色不可用的
HKEY_CURRENT_USER \\Software \\Microsoft \\Windows \\CurrentVersion \\Run
HKEY_CURRENT_USER \\Software \\Microsoft \\Windows \\CurrentVersion \\RunOnce
HKEY_LOCAL_MACHINE \\SOFTWARE \\Microsoft \\Windows \\CurrentVersion \\Run
HKEY_LOCAL_MACHINE \\SOFTWARE \\Microsoft \\Windows \\CurrentVersion \\RunOnce
HKEY_LOCAL_MACHINE \\SOFTWARE \\Microsoft \\Windows \\CurrentVersion \\RunOnceEx
以上键值是关于自启动文件的
HKEY_LOCAL_MACHINE \\SYSTEM \\CurrentControlSet \\Services
这个键值是关于系统服务的,
以上这些键值在你对系统设置好以后再去取消用户的完全控制权限,只给予用户读取权限这只是一部分,比较常见的,当然不是全部。如果大家还有什么其他的见解请请一起来讨论下吧。
其实不知道大家注意到没有,对于一些顽固的文件也可以用权限限制来进行删除,比如在正常模式及安全模式下都无法删除的文件,但是在这些文件在DOS下却很容易就删除了,原理很简单,那就是系统在启动时是用户本身或系统去调用那个文件导致删除不成功,但是我们不允许任何用户去访问这个文件呢,先把这个文件的全部访问用户都删除,然后重起后再给予这个文件用户的完全控制权限来进行删除,有的文件在注销后就可以删除了,但是我在这里还是建议大家重起后再进行删除。
篇4:六招预防网站被挂马
招预防网站被挂马:
一、查看源文件与首页相关的CSS和JS文件,
这一招是最基础,最老土,但是最实用的一招了。查看首页代码多数人都明白。但是很多人并不在意CSS文件和JS文件。熟不知现在这两种挂马方式正在大行其道。
经常有站长反应自己的网站报病毒,但是首页里面并没有马。其实如果你细心一点看看,木马多数时间都隐藏在CSS和JS文件里面。
二、定期修改ftp的用户与密码。
这个我想不用多解释了吧,这也是个习惯问题。现在的网站系统漏洞不多了。想入侵系统难,但是想爆出个FTP密码来相信不少人还是能作到的。奉劝那些用纯数字作密码的站长兄弟们修改一下自己的密码,因为现在新出的纯数字密码穷举器,九位的密码能在两个小时内破出来。。。
三、注意首页及重要页面生成时间。
有很多网站,特别是ZF机关类网站多数情况下很少更新,而这些机关部门人员,如果你告诉他如何去查看源代码,估计那也是一件很难的事情。但是如果你让他看一下“文件创建时间”“文件修改时间”,这个他们应该会。如果经常几个月不更新网站,而“文件创建时间”“文件修改时间”就在这几天的话,那就很说明有问题了。
比较重要的文件,比如模版文件,CSS文件,JS文件最好都看一下。
四、经常升级一下自己的CMS系统,
现在正里八经的网站一般都是用比较成熟的CMS系统作的,比如DISCUZ、DEDECMS、PHPCM、PHPWIND之类的。这些系统在进后台之后一般都有新版本升级的提示。
这些提示最好是看一下。有的时候都是一些漏洞升级。必要的话经常升级一下。
再一个就是常用CMS系统的后台目录一定要修改。千万不要小看这一点,用一个inurl命令可以在百度或者GG里面搜索出N多后台目录来.
五、程序设置定时重新生成一下首页。
一般网站被黑,多数人会选择与直接写入首页。但是正规CMS都是用生台模板来生成网站首页的。如果设置每天某个时间定时重新生成一次的话。即使被黑,被挂马了。也会自动被系统覆盖掉的。
六、异地备份整站或者数据库
开篇的时候提到了,我的亲亲传世网因为数据库是ASP的,惨被写入木马。直接挂了整站。
经常备案数据库——异地备份。一定要把重要备份放到自己的电脑上或者移动硬盘上。
这个太重要了,特别是ASP类的数据库。如果没有备份,遇上这样的事情那直接崩溃了。
再补充一下就是经常跟你的主机空间商联系一下。有的时候整个服务器出了漏洞。或者其它网站有问题连累到你也说不定。
基本就说这么多吧。希望以后不再出现网站被挂马的情况。
是充满杯具的一年,希望所有的站长兄弟们都能有点收入。
并且祝所有站长朋友正月十五元宵节快乐!
篇5:如何修复被挂木马的php网站WEB安全
有个朋友的网站长期没有人管理,而网站PR=4,于是网站被人攻陷,首页加上了上百条黑链,找我帮忙修复
看到首页密密麻麻的黑链,第一反应就是头大,最简单的办法:格式化后重装系统。但是这个服务器web/数据库都部署在同一台上,数据规模有200多G,当初安装的时候也没有分区,在线迁移数据太麻烦了,只能硬着头皮去修复问题,步骤如下
停掉web服务,免得旧仇未报,又添新恨
找到被挂马的漏洞。一定要找到,不然问题根本解决不了。服务器被挂马主要是两种原因:sql注入或者某种系统性漏洞
sql注入,和代码有关系,不好查。但是只要你的Nginx/PHP不是以root身份运行的,最多被拖库,被挂马的可能性不大
系统性漏洞,这个破坏性很大,但是都会比较著名,马上有人提供解决方案,搜索一下就能找到
所以,找到被挂马的原因是: nginx文件类型错误解析漏洞,这个漏洞很严重,php网站只要支持图片上传都会中招
修补漏洞,nginx文件类型错误解析漏洞 这个漏洞比较好修复,在nginx configure文件里面配置一下即可
搜查木马文件,到代码安装目录执行下面命令
find ./ -iname “*.php” | xargs grep -H -n “eval(base64_decode”
搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉
最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码
清理现场, 去掉首页上的黑链,重启web服务
安全经验
普通服务器被挂马,不用紧张,按上述步骤进行修复
关键服务器(比如部署了用户资金/转账/交易 等服务),被挂马之后,必须要格式化重装,因为webshell的功能实在是非常齐全,攻击者很可能替换掉系统关键程序,比如sshd,nginx等,从此大门打开,随便进出
服务器安装系统要分区,至少应该分 系统区和数据区 两部分,这样重装系统的时候可以不用迁移数据
凡是提供外部端口的服务程序(web server,gate server),一定要用独立的用户运行,千万不要图省事,直接用root
★ IIS7使用.NET Framework v4.0运行库报500错误的解决办法WEB服务器
★ 网站安全责任书
★ Windows Internet信息服务的安装Web服务器
★ 安全生产月挂标语
网站服务器一直被挂马的解决办法WEB安全(共5篇)
