網(wǎng)站被掛馬的解決方案

服務(wù)器被掛馬的原因很多,在解決之前,首先要弄清楚被掛馬的類型，比較常見的分為ARP掛馬和非ARP掛馬。　　先說(shuō)說(shuō)ARP掛馬吧，機(jī)房中了ARP的木馬，剛接觸到的朋友會(huì)覺得很神奇，在服務(wù)器上看網(wǎng)站程序都沒(méi)有被注入的信息，在外網(wǎng)訪問(wèn)卻提示有病毒。這就是ARP掛馬的現(xiàn)象： （IE訪問(wèn)時(shí),站點(diǎn)被掛馬了,但是到服務(wù)器上查看實(shí)際的文件時(shí),發(fā)現(xiàn)服務(wù)器上的文件并沒(méi)有被修改.）一般這種情況我們是沒(méi)法解決的，只能通過(guò)聯(lián)系機(jī)房，

檢查出被掛ARP病毒的機(jī)子，給予隔離查殺病毒!

接下來(lái)說(shuō)說(shuō)非ARP掛馬，目前比較常見的是asp和。net木馬。二者分別通過(guò)調(diào)用fso和io組件進(jìn)行網(wǎng)站程序的批量掛馬。所以防止該木馬最直接的方法是控制好這兩個(gè)組件權(quán)限，網(wǎng)站目錄只給讀權(quán)限，更新站點(diǎn)內(nèi)榮如：上傳圖片，插件等最好使用ftp進(jìn)行上傳，還有就是網(wǎng)站程序的控制，對(duì)上傳之類的操作都要給予驗(yàn)證。當(dāng)然，有時(shí)候會(huì)因一時(shí)疏忽而導(dǎo)致被掛馬了

下面根據(jù)被掛馬網(wǎng)站的數(shù)量分成以下幾種類型和解決方案:

(1) 個(gè)別網(wǎng)站被掛馬.

現(xiàn)象: 只有一個(gè)或兩個(gè)網(wǎng)站被掛馬,其它網(wǎng)站均沒(méi)有問(wèn)題.

解決: 一般是網(wǎng)站本身程序有問(wèn)題. 可以通知客戶自行解決,不屬于IDC提供商的責(zé)任范圍.

如果想要幫客戶解決,可以先檢查一下看客戶網(wǎng)站上是否存在WEB上傳程序, HTML在線編程程序,圖片在線上傳的程序,大部是這類程序有問(wèn)題.

有使用礪青虛擬主機(jī)管理系統(tǒng)的朋友，如果不需要用到這類程序,可以WinIIS控制面板里設(shè)置一下站點(diǎn)主目錄的權(quán)限, 把寫權(quán)限去掉,留下只讀與執(zhí)行即可.

(2) 同一類型的網(wǎng)站被掛碼.

現(xiàn)象: 數(shù)個(gè)網(wǎng)站被掛馬,且被掛馬的網(wǎng)站內(nèi)容是同一類型的網(wǎng)站,比如使用同一種論壇程序,同一種在線上傳程序,同一種商城等.

解決: 大部分是由于這類論壇或商城程序有漏洞. 可以建議升級(jí)一下相關(guān)的程序。

(3) 整臺(tái)服務(wù)器大部分網(wǎng)站都被掛馬了.

現(xiàn)象: 服務(wù)器在大部分網(wǎng)站都被掛馬了, 這種多半是由服務(wù)器安全整體安全問(wèn)題.

解決: 一般需要從以下方面檢查服務(wù)器的安全.且查出問(wèn)題之后, 如果沒(méi)有十足把握, 一般建議需要重裝服務(wù)器,才能根除.

檢查磁盤的權(quán)限設(shè)置是否有問(wèn)題,特別的C盤的權(quán)限. 其它盤是否有特別上不必要的權(quán)限,一般建議

其它盤符及d:wwwweb目錄只留下administrators及system權(quán)限就行了,不要留下任何其它用戶的權(quán)限.

檢查serv-u沒(méi)有設(shè)置管理密碼

檢查MSSQL的SA密碼是否過(guò)于簡(jiǎn)單或空密碼

檢查系統(tǒng)的啟動(dòng)項(xiàng),看是否有不必要的程序啟動(dòng).

檢查任務(wù)管理器,看是否有可疑的進(jìn)程