掃描二維碼關(guān)注博盈官方微信公眾號
立享網(wǎng)站建設(shè)優(yōu)惠
第一步,急救
情況一:管理員帳號無法登陸系統(tǒng)。
急救方法:使用ERD Commander恢復(fù)管理員密碼,ERD的界面是仿XP的界面,對XP\WIN2K/WIN2003適用。ERD Commander是一張可以自啟動的系統(tǒng)急救盤,具體的作用參見下面的補充材料
情況二:數(shù)據(jù)和程序被破壞,非系統(tǒng)盤盤被格式化,或者被惡意刪除
急救方法:使用EasyRecovery,進行恢復(fù)數(shù)據(jù)
情況三:其他情況下程序被加插代碼
急救方法:用搜索功能,把ASP或者PHP程序全部搜索出來,然后按時間排序,使用EditPlus打開所有懷疑的文件,(一般是被黑的文件的日期之后或者是conn.asp等文件),然后用替換所有打開的文件的功能,把所有加了的代碼替換掉,然后按批量保存,可以在幾秒之內(nèi)去掉所有的被加的代碼。
第二步,檢查損失情況,補漏
一般主機的安全,有5個方面的安全
1.主機的硬件的安全管理。比如,硬盤突然壞了,電源燒了等硬件不可控的因素。這可以通過每日備份和線下備份兩種方法來處理。數(shù)據(jù)庫,如果是有客戶或者瀏覽者更新內(nèi)容的,就要每日做好下載備份的工作。程序,一定要有本地的備份。GHOST,對于硬件損壞,起的作用不大。
2.主機的操作系統(tǒng)的安全。WIN2K系統(tǒng)因為系統(tǒng)安全策略是比較寬松的,缺省的服務(wù)很多自動開放了,WIN2003就已經(jīng)嚴(yán)格了很多。對于系統(tǒng),經(jīng)常的是感染操作系統(tǒng)病毒,病毒會使用大量占用系統(tǒng)的CPU資源,對于網(wǎng)站的程序,影響不會太大。而最常見的攻擊是1)使用DDOS洪水攻擊,發(fā)送大量的數(shù)據(jù)包,讓系統(tǒng)死機后,2)尋找系統(tǒng)開放的端口,利用端口的溢出漏洞獲取管理員密碼和種植系統(tǒng)木馬。一般的對策是采取硬件防火墻封鎖的端口和封鎖對方的IP的訪問,其實也可以采用系統(tǒng)自帶的“本地安全策略”和封鎖本地的端口訪問來達到這個目的,功能并不比硬件防火墻差,而且很多硬件防火墻其實也是用了LINUX系統(tǒng)擴展功能來實現(xiàn)的,本身也有各種的漏洞。殺病毒軟件也是一定要裝的,并且保證病毒庫的最新版本,也是日常要完成的工作。把系統(tǒng)的自動升級功能開了,設(shè)置成自動接受,當(dāng)系統(tǒng)補丁下在完畢后,會在右邊圖標(biāo)那里有個圓圖標(biāo),表示不動已經(jīng)就緒,可以安裝。
3.應(yīng)用程序的安全。
網(wǎng)站的訪問IIS,文件的上傳下載SERV-U、電子郵件、數(shù)據(jù)庫(Sqlserver),等應(yīng)用程序,這些程序也是在不斷的完善,低版本就有不少的漏洞,這些漏洞是黑客經(jīng)常光顧的地方。要經(jīng)常訪問黑客的站點,并不是讓你去攻擊別人,而是要清楚別人是怎么把你的主機拿下的,特別是留意你安裝的各種軟件是否有最新的漏洞。軟件的最新版本不一定要追,但最新的漏洞一定要防。
應(yīng)用程序的安全可以通過權(quán)限來設(shè)置。比如Sqlserver的權(quán)限可以通過設(shè)置DB_OWENER等權(quán)限,盡可能把最小的權(quán)限交給應(yīng)用程序。
4.網(wǎng)站程序的安全。
以上幾個地方被黑了,有的時候是無能為力的,因為黑客總比別人掌握多一點知識。但程序的漏洞,卻是自己可以去控制的。象動網(wǎng)論壇,動易程序,由于是開源程序,會有很多人分析里面的潛在的漏洞,然后針對這些漏洞實施1)上傳木馬 2)SQL注入獲得管理權(quán)。即使是自己編寫的程序,也很容易被掃描漏洞的程序掃描到,或者使用抓包工具,偽造數(shù)據(jù)包,然后實施攻擊。使用黑客軟件,一個操作,就可以自動在index.asp或者conn.asp里面加插IFRAME的代碼。過濾提交的漏洞,把檢查端放在服務(wù)器。國內(nèi)很多程序已經(jīng)可以檢測ASP木馬,象KV就可以檢查。程序的登陸那里要加上驗證功能,防止掃描密碼軟件進行掃描。在IIS設(shè)置那里,把FSO的權(quán)限設(shè)置好了,可以防止一個網(wǎng)站被黑影響到其他的網(wǎng)站。
5.有害信息
有害信息是網(wǎng)監(jiān)監(jiān)督的重點,一般采取過濾敏感詞和評論審核的功能。
針對以上的情況,可以按照以下的步驟逐步去檢查損失情況
TIPS1:檢查是否有黑客軟件或者木馬,可以用搜索整臺電腦的dll,com和PIF文件,如有可疑的文件,用文件名去搜索www.boryin.com或者www.09xdx.com,看是否是病毒
TIPS2:網(wǎng)站程序是否被黑,可以搜索所有的文件(例如*.asp *.php),檢查文件的時間,如果是被黑哪個時間修改或者新加的,就要打開詳細檢查下文件的內(nèi)容是否被種植病毒代碼。
TIPS3:數(shù)據(jù)庫的重裝,對于用戶的管理要謹慎,經(jīng)常是恢復(fù)的程序適當(dāng),造成數(shù)據(jù)庫無法訪問,最好是在其他地方恢復(fù)數(shù)據(jù)庫,然后生成SQL腳本,在主機上用SQL查詢管理器重建數(shù)據(jù)庫,再把數(shù)據(jù)倒過去。
第三步,追查是從那里被黑的,找到被黑的漏洞,進行修補
1.用解鎖工具猜測密碼,可以在系統(tǒng)的事件那里看到
2.利用程序漏洞,可以檢查LOG文件
第四步,制定完善的日常管理
1.數(shù)據(jù)備份
2.日常的補丁和漏洞掃描
3.用NBSI分析日志文件