这是一个创建于 2217 天前的主题,其中的信息可能已经有所发展或是发生改变。
网站被挂码,现象是他修改配置文件,只要是从百度等搜索引擎来的,全都直接转向它们的网站了,直接打开我们的域名没有问题。用安全狗已经把补丁打了,也扫描监控开启了。 同服务器有 pageadmin 一个 cms 系统和一个老旧的 asp 网站。还有自己用 vs2018 写的一个 framework4.5 的博客系统。 会是这两个系统的后门或漏洞导致被攻击吗?有什么办法可以彻底杜绝?
 |
1
weipt OP 配置文件被加入以下代码
<rewrite> <rules> <rule name="*"> <match url="^(.*)$" /> <conditions logicalGrouping="MatchAny"> <add input="{HTTP_USER_AGENT}" pattern="baidu|so|sogou|360|sm|yisou|uc|haosou" /> <add input="{HTTP_REFERER}" pattern="baidu|so|sogou|360|sm|yisou|uc|haosou" /> </conditions> <action type="Redirect" url="http://www.38dgs.com/{R:0}" redirectType="Permanent" /> </rule> </rules> </rewrite> |
 |
2
yidinghe 2018-10-27 21:23:06 +08:00 via Android
增加 root 的登录安全性,用非 root 来启动服务,该用户不允许修改配置文件。
|
 |
3
zy65334 2018-10-28 00:18:25 +08:00  1
给你几个建议:
1.先用安全狗扫描服务器上几个 web 站点,看有不有木马,特别是在 upload 目录下,是否有其他木马。 2.保存木马样本名称,通过几个网站的 web 日志分析查找 post 记录。 3.查看操作系统下面注册表是否有多余的系统管理员账号。 |
|
4
zy65334 2018-10-28 00:20:43 +08:00
如果有 POST 记录多半就是从那个地方入手的
|
 |
5
t6attack 2018-10-28 01:54:19 +08:00 2
如果已经被提权成功过。那就不是两个网站层面的问题了。只把漏洞补上可能解决不了问题。
以前的技术是通过加载恶意驱动驻留系统、隐藏后门。 现在的技术是 bootkit (类似 隐蜂、暗云Ⅲ 的技术)。 具体要看黑客的等级如何。在你的服务器上做过什么,然后对症下药解决问题。最好是什么都没做。 |
 |
6
nicevar 2018-10-28 10:08:54 +08:00
个人网站?可以用 git 管理,这样留了 webshell 很容易查出来,如果留了系统后门就比较难办了,看看日志有没有被清理,检查是否有新增用户或者普通用户提权了,隔一段时间检查端口是否有异常表现,用 Process Explorer 检查各个进程的加载模块
|
Select Language