如果发现网站出现异常情况,如页面被修改、管理账号不能登录,则说明网站已经被入侵。这时就需要尽快进行处理,以防止黑客种植的网页病毒扩散。
暂时关闭网站
网站被黑客入侵后,最常见的情况就是被植入木马程序,为了保证浏览者的安全,必须先关闭网站,待处理完毕后再开放。关闭时可以暂时将域名转向其它地址,如建立一个网站的帖吧,或者放置一个说明页面。
使用备份恢复
如果网站文件被黑客破坏或删除,假如事先进行过网站数据备份的话,可以直接使用备份文件恢复。万一没有对备份进行备份,而数据又非常重要的话,建议先不要进行任何操作,立即请专门进行数据恢复的公司尝试恢复服务器硬盘中的数据。
因为有些虚拟主机服务商会定时备份服务器中的数据,使用虚拟主机空间的用户,还可以联系空间商获取数据备份。
打补丁查漏洞
当程序漏洞被公布时,程序的官方网站都会发布程序的补丁,只需要下载相应的文件,按照说明上传到网站空间覆盖原文件即可。如果暂时没有出现相关的补丁,则可以暂时禁用或删除某些功能文件。
接着我们可以查看网站的访问日志,找出访问木马程序的IP地址记录,根据查询到的IP地址,再次查看黑客还访问了哪些页面,检查这些页面是否有其它漏洞。
木马程序检测
站长可以根据网页文件的修改时间来判断是否被植入木马,方法是察看所有被更改的文件的更改日期,由于是木马修改了这些页面,因此它们修改日期非常接近。然后查询此日期最近新建立的asp、aspx、asa文件,将异常文件进行隔离或删除。
使用PhpWind论坛程序的站长还可以下载专用的网页木马检测工具来进行木马的检测和清除(下载地址:http://www.phpwind.com/2.0/safe.zip),解压后将文件全部上传到论坛目录中,如果服务器是Linux 或FreeBSD系统还需要设置论坛目录为可读写模式。接着在浏览器中输入safe.php文件的绝对地址,程序将自动检测站点中的文件,检测完成后将会显示安全报告。
我们也可以使用专门的网页木马检测工具进行检查,下载一款“网站程序安全分析器”(下载地址:http://www.zyw365.com/soft/softdown.asp?softid=1780),解压后打开主程序(图1),接着使用FTP软件将网站文件全部下载到本地硬盘,选择文件所在的文件夹后点击“扫描”按钮即可。稍等片刻,软件将显示扫描到的木马文件名称,要注意的是,该软件检测比较苛刻,一些组件文件和后台管理程序也会被列入危险文件,在使用时需要仔细鉴别。
批量修复网页
一般黑客侵入网站后都是在网页中加入代码进行木马的种植,从而使用户在浏览网站时自动打开并下载木马程序,一些木马程序会自动在所有的网页文件后面添加一行代码:,如果网站文件很多,手工一个个清除简直是不可能的事。这时可以使用数码龙网页批量修改器进行恶意代码的批量删除。
首先删除网站空间中存在的木马文件,接着下载数码龙网页批量修改器,打开软件主程序后在“删除字符”栏目中输入检测出的恶意代码,然后选择网站文件所在的文件夹,单击“开始”按钮,软件将自动完成网页的修复操作(图2)。当确认没有恶意代码后,将所有文件上传到网站空间即可。
当前位置: 操作系统/服务器>linux
本页文章导读:
▪网站被黑后处理方法及删除批量恶意代码的方法步骤
如果发现网站出现异常情况,如页面被修改、管理账号不能登录,则说明网站已经被入侵。这时就需要尽快进行处理,以防止黑客种植的网页病毒扩散。 暂时关闭网站 网站被黑客.........
▪win2000 IIS支持shtml shtm的设置方法 原创
win2000中在IIS中属性-主目录-配置中的映射中添加 .shtml 可执行文件路径 c:\Windows\system32\inetsrv\ssinc.dllwin2003中在web服务扩展里设置即可
......
▪服务器的ARP欺骗攻击的防范的两种解决方法
服务器的ARP欺骗攻击的防范 这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范AR.........
[1]网站被黑后处理方法及删除批量恶意代码的方法步骤
来源: 互联网 发布时间: 2013-12-24
[2]win2000 IIS支持shtml shtm的设置方法 原创
来源: 互联网 发布时间: 2013-12-24
win2000中
在IIS中属性-主目录-配置中的映射中添加
.shtml 可执行文件路径 c:\Windows\system32\inetsrv\ssinc.dll
win2003中在
web服务扩展里设置
即可
在IIS中属性-主目录-配置中的映射中添加
.shtml 可执行文件路径 c:\Windows\system32\inetsrv\ssinc.dll
win2003中在
web服务扩展里设置
即可
[3]服务器的ARP欺骗攻击的防范的两种解决方法
来源: 互联网 发布时间: 2013-12-24
服务器的ARP欺骗攻击的防范
这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击。
静态地址法指的是,在本地服务器上,将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击,如果你也越到了类似的ARP欺骗攻击,也可以参考这个方法进行设置。
首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令arp -a 网关的IP地址,就可以找到,其中Physical Address里就是网关MAC地址,显示类似00-07-e9-0a-77-93,其类型Type通常为动态dynamic。我们的目的是要将其设置为静态static。
接着, 使用arp -d命令删除目前的arp列表,再使用arp -s 网关IP地址 网关MAC地址,将其设置为静态static。
这时候,系统的ARP就会变成静态了,但是如果服务器重新启动,这些设置就消失了,因此,编辑一个BAT文件,内容为以上的arp -s的内容,将其加到“启动”菜单中,然后修改Windows注册表使得Windows可以自动登录,这样每次启动都会自动设置静态的ARP了。
如果感觉操作起来麻烦,或者使用上面的方法依旧无法阻止ARP攻击,那么可以使用第二种方法,使用专门的ARP防火墙软件来阻止别人的ARP攻击。目前主要的ARP防火墙产品有免费的奇虎360antiarp,其他大多都是收费的ARP防火墙,根据我的使用感受,有一个叫antiarp的商用软件功能还是比较丰富的,软件价格是每台服务器199元。在服务器上安装这个软件之后,除了可以自动预防ARP攻击之外,还可以使用这个ARP防火墙软件查找出ARP攻击者的IP地址。知道了攻击者的IP地址后,大家就可以将其截图后发给IDC机房,要求机房关闭那台ARP服务器,通常情况下机房会关闭病毒服务器,如果机房不关闭服务器,那就去公安局报案,指控电信机房散布病毒。
对于那些托管服务器却不做好安全设定的人,我劝他们先学好计算机知识后再托管服务器,否则以后肯定会吃大亏。对于那些主动在服务器上使用arp病毒工具的人,我鄙视他们,祝他们好自为之。
附录:ARP相关背景知识(来自欣向ARP工具)
ARP欺骗原理:
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞,通过伪造MAC地址实现ARP欺骗的攻击
技术。
在同一局域网内的电脑都是通过MAC地址进行通讯的。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的MAC地址)调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。
网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC.这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件,就可以在局域网内进行ARP欺骗攻击了。
ARP的发现:
ARP的通病就是掉线,在掉线的基础上可以通过以下几种方式判别,
1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限,过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP,使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),他是不断的通过非常大量ARP欺骗来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
2.打开被骗机器的DOS界面,输入ARP -A命令会看到相关的ARP表,通过看到的网关的MAC地址可以去判别是否出现ARP欺骗,但是由于时限性,这个工作必须在机器回复正常之前完成。如果出现欺骗问题,ARP表里面会出现错误的网关MAC地址,和真实的网关MAC一对黑白立分。
这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击。
静态地址法指的是,在本地服务器上,将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击,如果你也越到了类似的ARP欺骗攻击,也可以参考这个方法进行设置。
首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令arp -a 网关的IP地址,就可以找到,其中Physical Address里就是网关MAC地址,显示类似00-07-e9-0a-77-93,其类型Type通常为动态dynamic。我们的目的是要将其设置为静态static。
接着, 使用arp -d命令删除目前的arp列表,再使用arp -s 网关IP地址 网关MAC地址,将其设置为静态static。
这时候,系统的ARP就会变成静态了,但是如果服务器重新启动,这些设置就消失了,因此,编辑一个BAT文件,内容为以上的arp -s的内容,将其加到“启动”菜单中,然后修改Windows注册表使得Windows可以自动登录,这样每次启动都会自动设置静态的ARP了。
如果感觉操作起来麻烦,或者使用上面的方法依旧无法阻止ARP攻击,那么可以使用第二种方法,使用专门的ARP防火墙软件来阻止别人的ARP攻击。目前主要的ARP防火墙产品有免费的奇虎360antiarp,其他大多都是收费的ARP防火墙,根据我的使用感受,有一个叫antiarp的商用软件功能还是比较丰富的,软件价格是每台服务器199元。在服务器上安装这个软件之后,除了可以自动预防ARP攻击之外,还可以使用这个ARP防火墙软件查找出ARP攻击者的IP地址。知道了攻击者的IP地址后,大家就可以将其截图后发给IDC机房,要求机房关闭那台ARP服务器,通常情况下机房会关闭病毒服务器,如果机房不关闭服务器,那就去公安局报案,指控电信机房散布病毒。
对于那些托管服务器却不做好安全设定的人,我劝他们先学好计算机知识后再托管服务器,否则以后肯定会吃大亏。对于那些主动在服务器上使用arp病毒工具的人,我鄙视他们,祝他们好自为之。
附录:ARP相关背景知识(来自欣向ARP工具)
ARP欺骗原理:
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞,通过伪造MAC地址实现ARP欺骗的攻击
技术。
在同一局域网内的电脑都是通过MAC地址进行通讯的。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的MAC地址)调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。
网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC.这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件,就可以在局域网内进行ARP欺骗攻击了。
ARP的发现:
ARP的通病就是掉线,在掉线的基础上可以通过以下几种方式判别,
1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限,过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP,使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),他是不断的通过非常大量ARP欺骗来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
2.打开被骗机器的DOS界面,输入ARP -A命令会看到相关的ARP表,通过看到的网关的MAC地址可以去判别是否出现ARP欺骗,但是由于时限性,这个工作必须在机器回复正常之前完成。如果出现欺骗问题,ARP表里面会出现错误的网关MAC地址,和真实的网关MAC一对黑白立分。
最新技术文章: