华云数据的云主机安全-网站被挂马后的处理方法
1、确认被挂的代码确认被挂代码的方式倦虺赳式非常简单,这些代码都有共同的HTML标记:**<\script>或者 <\iframe>**。一般向网页文件加入下载木马的代码都在文件的索兼熨旷末尾,语句都是直接调用远程代码文件下载病毒,例如这俩HTML标记里”src“路径都带有“http://”,极少部分挂马者会将下载木马的代码文件直接上传到服务器上。我们略作识别就可以知道哪些文件被挂代码,如:(1)文件中包含,这种看上去莫名其妙代码肯定是被挂在上去的。(2)文件中包含,这类代码有时候可能是用户自己加入的,比如进行pv统计等其他流量统计代码,判断是先新建一个空白htm文件,比如test.htm,将代码拷贝至文件中,通过本地计算机域名访问(请勿直接在服务器上访问),杀毒软件出现病毒提示则已经确定是被卦代码,判断不带“http://”路径的标记是否被挂马的方式也是如此,方法简单有效。(3)同一段代码在同一个文件里面反复出现,如图:(4)所有代码的文件属性中修改时间都完全接近,如图:
2、替换被卦的文件先从服务器上确认用于存放上传文件的目录,一般这类目录里面全部都是图片,或者有一部分被上传上来的木马程序,在iis里面展开站点,右键点击目录,选择属性,打开该文件夹的属性窗口。在“执行许可”窗口里,将脚本执行权限修改成”无”,这样,该目录就不具备脚本执行权限了,里面的所有脚本运行时提示403禁止执行的错误。依次查找该站点的其他上传目录,也可以将所有存放图片的目录都作此修改,预防万一。
3、找出木马目前的木马绝大部分都是asp文件,分为加密和未加密文件,由于木马文件为了能够给控制者提权,是需要读取注册表某些键值,我们只需要在未加密木马文件中查找包含“HKLM\SYSTEM\”关键字的文件绝对都是木马,用户程序是不会去读服务器注册表的。如果文件已经加密,则加密文件中基本上都含有“VBScript.Encode”字符,所以只需要搜索以上两个关键字的文件,能够所处绝大部分木马文件来,搜索方法如下图:
4、关闭上传目录的执行权限一般无组件上传都会特定上传目录,用于存放上传文件。木马需要被上传上来首先就要伪装成图片上传到指定的目录里面,如果我们将该目录在足毂忍珩iis里的脚本执行权限关闭,即设置成”无”脚本执行权限,那么上传的木马即使在服务器上也无法运行,就不会对用户站点或者服务器造成危害,方法如下图:先从服务器上确认用于存放上传文件的目录,一般这类目录里面全部都是图片,或者有一部分被上传上来的木马程序,在iis里面展开站点,右键点击目录,选择属性,打开该文件夹的属性窗口。在“执行许可”窗口里,将脚本执行权限修改成”无”,这样,该目录就不具备脚本执行权限了,里面的所有脚本运行时提示403禁止执行的错误。依次查找该站点的其他上传目录,也可以将所有存放图片的目录都作此修改,预防万一。
5、通知用户修改无组件上传代码漏洞用户站点上存在木马,绝对是由于用户的上传程序存在检测漏洞,请及时更新上传代码,以免遭受不必要的损失。