安全問題

1. 服務器被入侵后的一些處理辦法

• 首先要防止對方通過現有的系統環境再次登錄，條件允許的情況下最好將WEB FTP MAIL SQL等服務事先關閉等檢查需要時再開啟。
• 極端的情況下可以直接用IP策略封掉除自己以外所有的雙向網絡連接。
• 同時要保證當前系統環境的穩定正常，對文件的操作建議使用everyone拒絕的形式而不是直接刪除。

1. 系統帳號檢查

• 通過本地用戶和組(lusrmgr.msc)查看否存在多個管理員或克隆用戶，多余的管理員修改密碼后全部禁止，克隆帳號會繼承原用戶的數據，比如帳號說明之類的很好區分。
• 打開regedt32 給HKEY_LOCAL_MACHINE\SAM\SAM加上administrators全權(一般黑客已經幫你完成了這步)就能看到SAM項下的內容。
• HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下可以看到用戶的列表，默認的二進制鍵值記錄的是帳號對應的UID，例如0x1f4。UID列表對應于 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 這里是帳號的權限信息，例如0x1f4對應000001F4項。找到克隆帳號修改掉他的UID將其刪除，還原注冊表權限。

2. 進程檢查

• 可以通過第三方工具冰刃(iecsword)進行進程檢查。
• 發現可疑的進程全部關閉(system32\svchost.exe,lsass.exe,winlogon.exe,csrss.exe為關鍵的系統進程，確認進程文件路徑的情況下不要去關閉) 。
• 如是冰刃中提示存在但進程管理器中無法看到的，在該進程的“模塊信息中“找出該程序是插入到哪個進程中的并將其“強制解除“(有可能會系統自動重啟，如插入的是系統的關鍵進程，需事先EVERYONE拒絕掉該進程文件后再強制解除，DLL文件反注冊后再執行之前的操作)。

3. 系統環境檢查

• 檢查 C:\Documents and Settings\AllUsers\Documents、C:\Documents and Settings\AllUsers\Application Data、C:\wmpub\wmiislog下是否有可疑程序。
• C:\Documents and Settings下是否有其他用戶的目錄。如果存在則進入該用戶目錄搜索.exe .com *.bat可能會找到一些登錄后用過的工具以便分析入侵過程。
• C:\Documents and Settings\xxxxx\LocalSettings目錄下能找到該用戶一些訪問的緩存記錄也有助于分析。
• 檢查當前端口使用狀態，被動模式的木馬會監聽端口來等待連接。可以通過netstat -anb |more 來獲取當前端口的使用狀態和對應的程序名(只用于03系統)。
• windows目錄和system32目錄右擊→文件查看→詳細信息→按日期排列后找出最近建立的exe和dll文件對其進行排查。
• 檢查殺毒軟件的日志記錄，一般通過WEB進行提權的，獲得上傳權限后會通過某個站點上傳WEB木馬這時候往往可以從殺毒軟件的日志中發現一些記錄。入侵后上傳的程序很有可能被當做病毒清除。通過日志可以獲得木馬路徑以及木馬程序名稱。
• 檢查cmd.exe net.exe net1.exe cacls.exe regedit.exe regedt32.exe程序的權限是否有被修改。
• 檢查系統啟動組(msconfig)以及組策略(gpedit.msc)。組策略中的管理模版→系統→登錄要注意。

4. 服務程序的檢查

• 檢查SERV-U用戶是否有系統管理員權限。搜索SERV-U配置文件ServUDaemon.ini 關鍵字為“system”。如發現Maintenance=System則此用戶的權限存在問題，更換SERV-U除兩個.ini外的全部文件以防止捆綁，完成后給SERV-U加上管理密碼。
• 檢查SQL SERVER是否有system Administrators角色的用戶，是否有用戶擁有多個庫的訪問權限。
• MYSQL備份好MYSQL庫檢查USER表。表中每行代表一個用戶的權限，發現與ROOT內容相同的行一律刪除。

5. 檢查完成后的處理

• 修復和更新可能受損的殺毒軟件，重新配置安全環境。

2. 網站被掛馬后的處理方法

確認被卦的代碼 → 替換被卦的文件 → 找出木馬 → 關閉上傳目錄的執行權限 → 修改無組件上傳代碼漏洞

確認被掛的代碼
確認被掛代碼的方式非常簡單，這些代碼都有共同的HTML標記：**<\script>或者 <\iframe>**。一般向網頁文件加入下載木馬的代碼都在文件的末尾，語句都是直接調用遠程代碼文件下載病毒，例如這倆HTML標記里”src“路徑都帶有“//”，極少部分掛(gua)(gua)馬者會將下載木馬的代碼文件直接上傳到服務器上。我們略作(zuo)識別就(jiu)可以知道哪些文件被掛(gua)(gua)代碼，如(ru)：

1. 文件中包含，這種看上去莫名其妙代碼肯定是被掛在上去的。
2. 文件中包含，這類代碼有時候可能是用戶自己加入的，比如進行pv統計等其他流量統計代碼，判斷是先新建一個空白htm文件，比如test.htm，將代碼拷貝至文件中，通過本地計算機域名訪問（請勿直接在服務1. 器上訪問），殺毒軟件出現病毒提示則已經確定是被卦代碼，判斷不帶“//”路徑的標記是否被掛馬的方式也是如此，方法簡單有效。
3. 同一段代碼在同一個文件里面反復出現，如圖：
   
4. 所有代碼的文件屬性中修改時間都完全接近，如圖：
   

替換被卦的文件
先從服務器上確認用于存放上傳文件的目錄，一般這類目錄里面全部都是圖片，或者有一部分被上傳上來的木馬程序，在iis里面展開站點，右鍵點擊目錄，選擇屬性，打開該文件夾的屬性窗口。在“執行許可”窗口里(li)，將(jiang)腳(jiao)本執行權限(xian)(xian)修改成”無”，這樣，該(gai)目錄就不(bu)具(ju)備腳(jiao)本執行權限(xian)(xian)了，里(li)面的所有腳(jiao)本運行時(shi)提示403禁止執行的錯誤。依次(ci)查找該(gai)站點的其他(ta)上(shang)傳目錄，也可以將(jiang)所有存放圖片的目錄都作此修改，預防萬一。

找出木馬
目前的木馬絕大部分都是asp文件，分為加密和未加密文件，由于木馬文件為了能夠給控制者提權，是需要讀取注冊表某些鍵值，我們只需要在未加密木馬文件中查找包含“HKLM\SYSTEM\”關鍵字的文件絕對都是木馬，用戶程序是不會去讀服務器注冊表的。如果文件已經加密，則加密文件中基本上都含有“VBScript.Encode”字符，所以只需要搜索以上兩個關鍵字的文件，能夠所處絕大部分木馬文件來，搜索方法如下圖：

關閉上傳目錄的執行權限
一般無組件上傳都會特定上傳目錄，用于存放上傳文件。木馬需要被上傳上來首先就要偽裝成圖片上傳到指定的目錄里面，如果我們將該目錄在iis里的腳本執行權限關閉，即設置成”無”腳本執行權限，那么上傳的木馬即使在服務器上也無法運行，就不會對用戶站點或者服務器造成危害，方法如下圖：
先從服務器上確認用于存放上傳文件的目錄，一般這類目錄里面全部都是圖片，或者有一部分被上傳上來的木馬程序，在iis里面展開站點，右鍵點擊目錄，選擇屬性，打開該文件夾的屬性窗口。在“執行許可”窗口(kou)里(li)，將腳本(ben)執(zhi)行權(quan)限修(xiu)改成”無”，這樣，該(gai)目(mu)(mu)錄(lu)就不具備腳本(ben)執(zhi)行權(quan)限了，里(li)面的所有腳本(ben)運行時提(ti)示403禁止執(zhi)行的錯誤。依次查找該(gai)站點的其(qi)他上傳目(mu)(mu)錄(lu)，也可以將所有存放圖片的目(mu)(mu)錄(lu)都作此(ci)修(xiu)改，預防(fang)萬一。

修改無組件上傳代碼漏洞
用戶(hu)站(zhan)點上存在(zai)木馬，絕對是由(you)于用戶(hu)的上傳程序存在(zai)檢測(ce)漏洞，請及(ji)時更新上傳代(dai)碼，以免遭受(shou)不必要的損失(shi)。

3. 怎樣刪除惡意創建的帶點引號、系統名等的特殊文件夾或文件?

一些客戶的網站被上傳了木馬之后，經常會被創建一些惡意的文件夾，比如帶點的文件夾image.和系統保留字符命名的文件con.asp等，直(zhi)接刪除這些(xie)文件(jian)或文件(jian)夾的(de)(de)時候會(hui)提示報(bao)錯。碰到這些(xie)特殊(shu)文件(jian)的(de)(de)刪除，可以(yi)用以(yi)下(xia)代碼清除：

@echo y|Cacls %\* /c /t /p Everyone:f
DEL /F/A/Q \\\\?\\%\*
RD /S /Q \\\\?\\%\*

將以上代碼保存為bat文件，將要刪除(chu)的(de)文(wen)件或文(wen)件夾拖(tuo)到這個(ge)批處理里(li)面(mian)就(jiu)會(hui)直接(jie)刪除(chu)了。