V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
weipt
V2EX  ›  问与答

高手救命,最近网站总是被挂码,怎么办?

  •  
  •   weipt · 2018-10-27 20:54:38 +08:00 · 2788 次点击
    这是一个创建于 2249 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网站被挂码,现象是他修改配置文件,只要是从百度等搜索引擎来的,全都直接转向它们的网站了,直接打开我们的域名没有问题。用安全狗已经把补丁打了,也扫描监控开启了。 同服务器有 pageadmin 一个 cms 系统和一个老旧的 asp 网站。还有自己用 vs2018 写的一个 framework4.5 的博客系统。 会是这两个系统的后门或漏洞导致被攻击吗?有什么办法可以彻底杜绝?

    6 条回复    2018-10-28 10:08:54 +08:00
    weipt
        1
    weipt  
    OP
       2018-10-27 21:08:37 +08:00
    配置文件被加入以下代码
    <rewrite>
    <rules>
    <rule name="*">
    <match url="^(.*)$" />
    <conditions logicalGrouping="MatchAny">
    <add input="{HTTP_USER_AGENT}" pattern="baidu|so|sogou|360|sm|yisou|uc|haosou" />
    <add input="{HTTP_REFERER}" pattern="baidu|so|sogou|360|sm|yisou|uc|haosou" />
    </conditions>
    <action type="Redirect" url="http://www.38dgs.com/{R:0}" redirectType="Permanent" />
    </rule>
    </rules>
    </rewrite>
    yidinghe
        2
    yidinghe  
       2018-10-27 21:23:06 +08:00 via Android
    增加 root 的登录安全性,用非 root 来启动服务,该用户不允许修改配置文件。
    zy65334
        3
    zy65334  
       2018-10-28 00:18:25 +08:00   ❤️ 1
    给你几个建议:
    1.先用安全狗扫描服务器上几个 web 站点,看有不有木马,特别是在 upload 目录下,是否有其他木马。
    2.保存木马样本名称,通过几个网站的 web 日志分析查找 post 记录。
    3.查看操作系统下面注册表是否有多余的系统管理员账号。
    zy65334
        4
    zy65334  
       2018-10-28 00:20:43 +08:00
    如果有 POST 记录多半就是从那个地方入手的
    t6attack
        5
    t6attack  
       2018-10-28 01:54:19 +08:00   ❤️ 2
    如果已经被提权成功过。那就不是两个网站层面的问题了。只把漏洞补上可能解决不了问题。
    以前的技术是通过加载恶意驱动驻留系统、隐藏后门。 现在的技术是 bootkit (类似 隐蜂、暗云Ⅲ 的技术)。
    具体要看黑客的等级如何。在你的服务器上做过什么,然后对症下药解决问题。最好是什么都没做。
    nicevar
        6
    nicevar  
       2018-10-28 10:08:54 +08:00
    个人网站?可以用 git 管理,这样留了 webshell 很容易查出来,如果留了系统后门就比较难办了,看看日志有没有被清理,检查是否有新增用户或者普通用户提权了,隔一段时间检查端口是否有异常表现,用 Process Explorer 检查各个进程的加载模块
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1052 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:28 · PVG 03:28 · LAX 11:28 · JFK 14:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.