[分享]云服務(wù)器掛馬清理實(shí)例
網(wǎng)站通過(guò)百度搜索訪問(wèn),會(huì)跳轉(zhuǎn)到異常網(wǎng)站。
經(jīng)過(guò)仔細(xì)分析、核實(shí),確定是被掛馬造成,但網(wǎng)頁(yè)源文件中、使用安全工具掃描都沒(méi)有發(fā)現(xiàn)異常代碼。
新建空文件1.html,使用工具測(cè)試也顯示掛馬,說(shuō)明是系統(tǒng)層面問(wèn)題。
1.png
經(jīng)查看站點(diǎn)設(shè)置等信息,發(fā)現(xiàn)iis站點(diǎn)》模塊被加入了異常dll,如圖
2.png
3.png
根據(jù)經(jīng)驗(yàn),%windir%開(kāi)頭的路徑是系統(tǒng)自動(dòng)加的,理論上沒(méi)有問(wèn)題;如果是c:\windows要重點(diǎn)核實(shí)。
4.png
5.png
經(jīng)過(guò)分析,此文件是木馬病毒文件。
刪除模塊加載,并刪除文件,重啟iis后測(cè)試,掛馬消失。
經(jīng)分析,黑客主要是利用了windows系統(tǒng)安全漏洞,進(jìn)而對(duì)系統(tǒng)造成了一些破壞。
目前主要windows2008、windows2012系統(tǒng)存在問(wèn)題,如使用這兩個(gè)系統(tǒng)的用戶,強(qiáng)烈建議升級(jí)為windows2016,具體操作參考:https://www.west.cn/faq/list.asp?unid=2446
或新購(gòu)買一臺(tái)同機(jī)房同配置云服務(wù)器,安裝2016系統(tǒng),自行遷移數(shù)據(jù)到新服務(wù)器,然后提交工單平移時(shí)間到新服務(wù)器。
安全設(shè)置
如暫時(shí)不能升級(jí),請(qǐng)做必要的安全設(shè)置。
1.安裝殺毒軟件或安全控制軟件,比如云鎖。
2.使用獨(dú)立用戶進(jìn)程池。(使用我司建站助手建立站點(diǎn)即可)
3、取消dcom
windows管理工具》組件服務(wù)》我的電腦右鍵屬性》默認(rèn)屬性》在此計(jì)算機(jī)上啟用分布式COM的勾取消。如果默認(rèn)沒(méi)有勾中不用做處理。
6.png
4.替換身份令牌取消所有池用戶包括iis_users組。
windows管理工具》本地安全策略》本地策略》用戶權(quán)限分配。如圖為正確的權(quán)限
8.png
5.身份模擬取消所有池用戶包括iis_users組
windows管理工具》本地安全策略》本地策略》用戶權(quán)限分配。如圖為正確的權(quán)限
9.png
這是臨時(shí)的安全設(shè)置,無(wú)法確保長(zhǎng)久的安全,建議盡快升級(jí)為windows2016系統(tǒng)才能徹底解決問(wèn)題。
來(lái)源:西部數(shù)碼
