[分享]云服务器挂马清理实例
网站通过百度搜索访问,会跳转到异常网站。
经过仔细分析、核实,确定是被挂马造成,但网页源文件中、使用安全工具扫描都没有发现异常代码。
新建空文件1.html,使用工具测试也显示挂马,说明是系统层面问题。
1.png
经查看站点设置等信息,发现iis站点》模块被加入了异常dll,如图
2.png
3.png
根据经验,%windir%开头的路径是系统自动加的,理论上没有问题;如果是c:\windows要重点核实。
4.png
5.png
经过分析,此文件是木马病毒文件。
删除模块加载,并删除文件,重启iis后测试,挂马消失。
经分析,黑客主要是利用了windows系统安全漏洞,进而对系统造成了一些破坏。
目前主要windows2008、windows2012系统存在问题,如使用这两个系统的用户,强烈建议升级为windows2016,具体操作参考:https://www.west.cn/faq/list.asp?unid=2446
或新购买一台同机房同配置云服务器,安装2016系统,自行迁移数据到新服务器,然后提交工单平移时间到新服务器。
安全设置
如暂时不能升级,请做必要的安全设置。
1.安装杀毒软件或安全控制软件,比如云锁。
2.使用独立用户进程池。(使用我司建站助手建立站点即可)
3、取消dcom
windows管理工具》组件服务》我的电脑右键属性》默认属性》在此计算机上启用分布式COM的勾取消。如果默认没有勾中不用做处理。
6.png
4.替换身份令牌取消所有池用户包括iis_users组。
windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限
8.png
5.身份模拟取消所有池用户包括iis_users组
windows管理工具》本地安全策略》本地策略》用户权限分配。如图为正确的权限
9.png
这是临时的安全设置,无法确保长久的安全,建议尽快升级为windows2016系统才能彻底解决问题。
来源:西部数码