返回
该怎么预防和解决网站被挂马的问题

该怎么预防和解决网站被挂马的问题

ID:6676455

大小:27.00 KB

页数:5页

时间:2018-01-22

该怎么预防和解决网站被挂马的问题_第1页
该怎么预防和解决网站被挂马的问题_第2页
该怎么预防和解决网站被挂马的问题_第3页
该怎么预防和解决网站被挂马的问题_第4页
该怎么预防和解决网站被挂马的问题_第5页
资源描述:

《该怎么预防和解决网站被挂马的问题》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、该怎么预防和解决网站被挂马的问题提示:我这里讨论是博客最近被ARP攻击的例子,烦死了。表现形式为网站被iframe挂马,弹出大量色情网站,问题出现了11个小时,这11小时都在血泪的探索中解决。  题记:如果你是从搜索引擎搜到这里的,我相信你一定非常着急,废话不多说,直入主题。其余感悟我挪到文章最后说。  我这里讨论是博客最近被ARP攻击的例子,烦死了。表现形式为网站被iframe挂马,弹出大量色情网站,问题出现了11个小时,这11小时都在血泪的探索中解决。  判断ARP攻击方法  一台服务器几乎所有网站打开网页HTM

2、L都被自动加上如这种样式的代码,有的在头部,有的在尾部,部分杀毒软件打开会报毒,打开HTML或ASP、PHP页面,在源码中怎么也找不到这段代码。  首先你可以随意建一个HTML文件上传到服务器,通过网站打开,如发现这个文件加入了iframe代码那说明中招了。  解决办法  第一种方法:检查IIS文档页脚  注意红框处,无特殊情况文档页脚是不会被启用的,如果你看到这里勾选并指向了一个本地HTML文件,你可以打开指向本地文件查看是否为木马病毒代码。  第二种方法:检查MetaBase.xml文件  MetaBase.xm

3、l是IIS里的一个配置文件,位置是:  C:WINDOWSsystem32inetsrvMetaBase.xml  检查是否被添加上如下一段代码:  AccessFlags="AccessRead

4、AccessScript"  AppFriendlyName="默认应用程序"  AppIsolated="2"  AppRoot="/LM/W3SVC/81120797/Root"  AuthFlags="AuthAnonymous

5、AuthNTLM"  DefaultDocFooter="FILE:C:WIN

6、DOWSsystem32Comiis.htm"  DefaultDocFooter=后面一般都是跟一个本地的文件,木马病毒就在这里了,把这段删除即可。  特别提示:MetaBase.xml无法直接修改,需要停止IIS服务才能修改,或者在IIS管理器中右击本地计算机--选择属性,勾选"允许直接编辑配置数据库",这样就可以在不停止IIS的情况下编辑metabase.xml文件。  第三种方法:检查ISAPI筛选器  目前这些DLL加载的文件,任何一款杀毒软件和杀木马软件还不能有效发现并杀掉,还得靠肉眼来实现。所以方

7、法也很简单:  打开IIS,右键点击网站,属性——找到ISAPI选项卡,检查下里面是否多了一些陌生的DLL文件。如果有陌生的DLL删除,重启IIS即可。  第四种方法:检查global.asa木马  先解释一下这个代码的作用:因为global.asa文件是网站启动的文件,当一个网站被用户访问的时候,会执行Application_Start代码段的内容,当一个用户第一次访问时会执行Session_Start代码段的内容,所以此段代码的作用就是当访问的时候自动下载获取木马内容,上面遇到的就是跳转性作用的木马代码。  gl

8、obal.asa木马一样平常不会影响网站的正常运行,黑客一样平常行使global.asa木马不是为了来破坏网站的运行,他们与网站黑链类似,一样平常是对网站的搜索引擎收录产生特别很是恶劣的影响。常体现为搜索引擎收录大量莫名其妙的网站题目,而这些题目绝对不是本身网站发布的内容,点击链接进入的依然是本网站的页面,但题目不同,点击百度快照发现百度提醒:“对不起,您所查看的网页不许可百度保存其快照,您可以直接访问某某网址”,没错!这说明你的网站已经中招了!它的直接后果是网站在搜索引擎的排名降落或者彻底消散,紧张的还会让访问者在

9、访问你的网站的时候电脑中毒!  global.asa这个文件一般是在根目录下的,属于系统文件只能在cmd命令下强制删除。如果自己不会删除的话你可以找自己的空间商让他们给你删除这个木马。  特别提示:以上方法均不起作用  上面提到的这些防ARP攻击的方法,都是从网上搜的,所有的方法起码重复了三遍,但是问题依旧没有解决,后面才知道,IFRAME被植入有两种情况:  一、就是有人在你的IIS上动了手脚,方法查找被修改的配置文件,或直接重装。  二、如果你重装还是没有解决,那就是ARP欺骗攻击,和你同一个服务器的局域网段的其

10、他服务器有问题,装ARP防火墙和向网管反映这个情况。解决这个问题要使用排除法找到真正原因,对症下药:)  花了大量时间排查,整整耽误了11个小时,后面才恍然大悟,原以为是自己服务器出问题了,没想到是局域网段其他服务器的问题。后面装了个360ARP防火墙才解决此问题。  扩展阅读:  ARP欺骗原理:  在局域网中,通信前必须通过ARP协议来完成

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。