[分享]云服务器挂马清理实例网站通过百度搜索访问,会跳转到异常网站。 经过仔细分析、核实,确定是被挂马造成,但网页源文件中、使用安全工具扫描都没有发现异常代码。 新建空文件1.html,使用工具测试也显示挂马,说明是系统层面问题。 经查看站点设置等信息,发现iis站点》模块被加入了异常dll,如图 根据经验,%windir%开头的路径是系统自动加的,理论上没有问题;如果是c:\windows要重点核实。 经过分析,此文件是木马病毒文件。 删除模块加载,并删除文件,重启iis后测试,挂马消失。 经分析,黑客主要是利用了windows系统安全漏洞,进而对系统造成了一些破坏。 目前主要windows2008、windows2012系统存在问题,如使用这两个系统的用户,强烈建议升级为windows2016,具体操作参考:https://faq.myhostadmin.net/faq/listagent.asp?unid=2446 或新购买一台同机房同配置云服务器,安装2016系统,自行迁移数据到新服务器,然后提交工单平移时间到新服务器。 安全设置 如暂时不能升级,请做必要的安全设置。 1.安装杀毒软件或安全控制软件,比如云锁。 2.使用独立用户进程池。(使用我司建站助手建立站点即可) 3、取消dcom windows管理工具》组件服务》我的电脑右键属性》默认属性》在此计算机上启用分布式COM的勾取消。如果默认没有勾中不用做处理。 4.替换身份令牌取消所有池用户包括iis_users组。 windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限 5.身份模拟取消所有池用户包括iis_users组 windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限 这是临时的安全设置,无法确保长久的安全,建议尽快升级为windows2016系统才能彻底解决问题。
|