网站被挂马了怎么办



<!-- ********在敢下我链接删你程序,挂个链接你也不损失什么。******** -->
<a href="http://www.jordanshoediy.com" target="_blank"><font color="#FFFFFF"><strong>women jordan shoes</strong></font></a>
<a href="http://www.gotonfl.com" target="_blank"><font color="#FFFFFF"><strong>cheap jerseys</strong></font></a>
<a href="http://www.cheapwholesale-jerseys.com" target="_blank"><font color="#FFFFFF"><strong>Cheap jerseys</strong></font></a>
<a href="http://www.worldshopingonling.com" target="_blank"><font color="#FFFFFF"><strong>Cheap Gucci</strong></font></a>
<a href="http://www.nikejordanshoessaleshop.com" target="_blank"><font color="#FFFFFF"><strong>wholesale jordan shoes</strong></font></a>

<a href="http://www.timesnfl.com" target="_blank"><font color="#FFFFFF"><strong>Cheap jerseys</strong></font></a>
<a href="http://www.lookuggboots.com" target="_blank"><font color="#FFFFFF"><strong>Uggs sale Free shipping</strong></font></a>
<a href="http://www.soccerjerseysme.com" target="_blank"><font color="#FFFFFF"><strong>Cheap Soccer jerseys</strong></font></a>
<a href="http://www.ourlouboutinss.com" target="_blank"><font color="#FFFFFF"><strong>Christian Louboutin</strong></font></a>

被人在页面上加了这么一段代码,求各位大哥们帮忙,小弟先谢谢了
这段代码是直接被放到页面里面的

47 个解决方案

#1


不要胡乱使用第三方有后门的程序,特别是不要把这类程序放到别人的服务器上。

#2


各位大侠们救命啊,那B太嚣张了

#3


那个什么从垃圾下载站下载的代码,你看看就行了,不要直接使用。

#4


引用 1 楼 sp1234 的回复:
不要胡乱使用第三方有后门的程序,特别是不要把这类程序放到别人的服务器上。

我只用了一个fck的控件是第三方的

#5


又没有什么工具检测他是怎么弄上去的,我的网站是www.dawn-hz.com,在底部用户控件里面弄的一段这个代码

#6


如果确实是你自己开发的软件,那么他这么威胁就由他去狂吠吧。你要自己做好措施。

比如说,假设这是aspx或者ascx中的代码,你怎么能够在最终发布的网站中还有这类代码呢?难道你在发布web site的时候不把第一个选项“允许修改此预编译网站”给取消掉然后才发布吗?如果你发布的网站中还有设计代码,你根本没有完整编译网站程序,这不是敞开大门诱惑那些可以接触到服务器的人来在你的aspx、ascx、masterpage上嵌入人家的代码(包括c#代码)嘛。

#7


用fck了?什么版本?记得听说以前fck有漏洞的。。。

#8


引用 5 楼 woying5510 的回复:
又没有什么工具检测他是怎么弄上去的,我的网站是www.dawn-hz.com,在底部用户控件里面弄的一段这个代码


发布时要选择完整编译选项,不允许发布之后再修改。

#9


这个是写在ascx文件里面的

#10


引用 9 楼 woying5510 的回复:
这个是写在ascx文件里面的


<!-- ********在敢下我链接删你程序,挂个链接你也不损失什么。******** -->


你给他改了 挂你大爷。

然后发布之后不允许修改

#11


我在发布的时候把
允许更新此预编译站点
使用固定命名和单页程序集
给勾上

#12


呵呵,那哥们真是嚣张

#13


关键是他删程序就麻烦了,我想知道,他怎么能够删程序

#14


引用 13 楼 woying5510 的回复:
关键是他删程序就麻烦了,我想知道,他怎么能够删程序
各位,救救我吧

#15


在敢下我链接删你程序,挂个链接你也不损失什么

这不是给你提示了嘛?
你给他放着是的。
如果不影响你的话。你可以在下面再写一句。 老大留个qq有事请教
如果以后你真遇到啥,还可以请人家帮忙。
我的c盘就放着这么一句。 进来的看到这个信息,有事请教。不过显灵会一回。还真给我回信息了。
到一些网站下载一些黑客工具。查一下。你网站的漏洞。如果查不到。他也是有些能力的。

#16


引用 14 楼 woying5510 的回复:
引用 13 楼 woying5510 的回复:

关键是他删程序就麻烦了,我想知道,他怎么能够删程序
各位,救救我吧


估计盗取你机子的管理员帐号,或者在你的机子开了什么后门。

#17


引用 10 楼 wxr0323 的回复:
引用 9 楼 woying5510 的回复:

这个是写在ascx文件里面的


<!-- ********在敢下我链接删你程序,挂个链接你也不损失什么。******** -->


你给他改了 挂你大爷。

然后发布之后不允许修改


都是牛人

#18


引用 11 楼 woying5510 的回复:
我在发布的时候把
允许更新此预编译站点
使用固定命名和单页程序集
给勾上


应该给取消啊!

#19


可直接报警
让警察帮你追查

#20


这个找警察没什么用,你又没收到什么损失,警察不会管的

#21


/evaporator+coils-china/evaporator+coils-Water+Dispenser+++Drinking+Machine+Evaporator-564/&amp;sa=U&amp;ei=zcFFTpbGLcj4mAWz_9HrBg&amp;ved=0CO0BEBYwSDjIAQ&amp;usg=AFQjCNHlimpzpBNQ9Xif2twGt4sKE1soVg
这段是在日志文件里面找到的,弱弱的问一下,这是什么意思

#22


引用 21 楼 woying5510 的回复:
/evaporator+coils-china/evaporator+coils-Water+Dispenser+++Drinking+Machine+Evaporator-564/&amp;amp;sa=U&amp;amp;ei=zcFFTpbGLcj4mAWz_9HrBg&amp;amp;ved=0CO0BEBYwSDjIAQ&amp;amp;usg=AFQjCNHlimpzpBNQ9Xif……

类似一些加密参数吧。看了网站  ,注释很嚣张。位置很低调   最下面一行 白色字。帮你找找原因。。

#23


引用 22 楼 guotongyu1 的回复:
引用 21 楼 woying5510 的回复:

/evaporator+coils-china/evaporator+coils-Water+Dispenser+++Drinking+Machine+Evaporator-564/&amp;amp;amp;sa=U&amp;amp;amp;ei=zcFFTpbGLcj4mAWz_9HrBg&amp;amp;amp;ved=0CO0BEBYw……
嗯,谢谢了

#24


删除吧,你又不是没有源文件,关健把数据库备份好

#25


引用 24 楼 msdnxgh 的回复:
删除吧,你又不是没有源文件,关健把数据库备份好
但是我始终要找到问题关键,不然你网站上去没几天又给删了,我怎么向客户交待啊

#26


该回复于2012-11-06 10:05:49被管理员删除

#27


引用 26 楼 nike12580 的回复:
这篇文章可能对你有用http://www.it-ezone.com/HotBlog/2011-08-45.html,不过他介绍的主要都是前台通过javascript注入的
网址404了

#28


有一些不用去多想就应该做到的防范措施。比如你使用SQL Server,那么你应该删除 xp_cmdshell 等存储过程。你可以为这些写一个测试程序,你的应用程序启东市可以首先运行一下测试部分,看看系统是否安全。这种测试程序可以逐步增加,并且跟你的程序结合。

#29


这是怎么回事呢?

#30


引用 6 楼 sp1234 的回复:
如果确实是你自己开发的软件,那么他这么威胁就由他去狂吠吧。你要自己做好措施。

比如说,假设这是aspx或者ascx中的代码,你怎么能够在最终发布的网站中还有这类代码呢?难道你在发布web site的时候不把第一个选项“允许修改此预编译网站”给取消掉然后才发布吗?如果你发布的网站中还有设计代码,你根本没有完整编译网站程序,这不是敞开大门诱惑那些可以接触到服务器的人来在你的aspx、ascx、m……

问下。。我的项目是web应用程序。。没有那项,不是说建立项目的时候应用程序要比建立网站好么。。

#31


引用 28 楼 sp1234 的回复:
有一些不用去多想就应该做到的防范措施。比如你使用SQL Server,那么你应该删除 xp_cmdshell 等存储过程。你可以为这些写一个测试程序,你的应用程序启东市可以首先运行一下测试部分,看看系统是否安全。这种测试程序可以逐步增加,并且跟你的程序结合。
大哥,可以留个联系方式教教我么,网络安全我就是菜鸟一个

#32


引用 31 楼 woying5510 的回复:
引用 28 楼 sp1234 的回复:

有一些不用去多想就应该做到的防范措施。比如你使用SQL Server,那么你应该删除 xp_cmdshell 等存储过程。你可以为这些写一个测试程序,你的应用程序启东市可以首先运行一下测试部分,看看系统是否安全。这种测试程序可以逐步增加,并且跟你的程序结合。
大哥,可以留个联系方式教教我么,网络安全我就是菜鸟一个

这里我总结了sql2008+win2008的安全方面。其他系统应该也差不多
---------------------------------------------------------------------
sql2008下为了安全删除提权的文件xplog70.dll,xp_cmdshell和创建只能读写权限的用户
一剪切走数据库下xplog70.dll文件(X:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn)不要彻底删除以防出现问题只是考走就行,删除xp_cmdshell存储过程
二创建用户只允许读写表,不允许创建新表  (节点下Security-logins可创建和管理用户)
1常规 选择强制实施密码策略
2服务器角色 只选public
3用户映射中 点击能使用的表勾选 db_datareader db_datawriter 读写数据库 db_ddladmin执行存储过程的权限 public (db_owner 权限危险能创建删除表)
4在此用户能使用的数据库右键属性(Properties)选择权限 在右侧选择用户 勾选最下边【执行】
三删除xp_cmdshell
USE   master 
GO 
sp_dropextendedproc   'xp_cmdshell ' 
GO 

恢复。 
USE   master 
go 
SP_ADDEXTENDEDPROC   'xp_cmdshell',   'XPLOG70.DLL ' 
四更名系统下net.exe命令 这是提升权限必要命令
五gpedit.msc进入组策略禁止命令提示符和注册表
1 选择用户配置-管理模板-系统 右侧看【防止访问命令提示符】【防止访问注册表编辑工具】 选已启用 在下拉框中也选【是】
2英文版 User Confingguration-Administrative Templates-System 右侧看[Prevent access to the command prompt]-选Enabled,下拉框中选yes(这是禁命令框) 在选择[Prevent access to registry editiing tools]-选Enabled,下拉框中选yes(这是禁注册表)
六数据库禁止windows身份验证登陆
注:单个数据库下选择Security节点Users节点中也可查看管理用户

大家有其他的可以补充下。。。。

#33


感谢楼上,现在主要是不知道那B是怎么样入侵进来的,只有一步一步的完善网站的安全了,要等到他下次攻击才能弄清楚他是怎么弄的

#34


可怜我第一次管理服务器,悲剧的我啊

#35


引用 34 楼 woying5510 的回复:
可怜我第一次管理服务器,悲剧的我啊

我也碰见过猖狂的。。在桌面上建立了一个文本文档写着,大概意思是再整服务器安全之类的就把服务器给废掉。。。像你这种是注入问题了,拿啊d注入检测下,

#36


其实那人目的 很明确,无非挂几个链接赚点广告费。你做好备份,删他链接就是。并给他警告,网警正在监视,再利用非法工具使用非法手段加广告。就得负刑事责任。 那人不至于为每年几百块的广告费冒这个险。

#37


引用 13 楼 woying5510 的回复:
关键是他删程序就麻烦了,我想知道,他怎么能够删程序

应该是他已经进了你的服务器了。。。服务器上有多少网站啊?

#38


找到他,然后干掉他。

#39


引用 38 楼 mockqi 的回复:
找到他,然后干掉他。
我想这样干,但是找不到他人

#40


在那山的这边海的那边有一群程序员,他们老实又腼腆,他们聪明又有钱。他们一天到晚坐在那里熬夜写软件,如果饿了就咬一口方便面!哦苦命的程序员,哦苦命的程序员,只要一改需求他们就要重新搞一遍,但是期限只剩下最后两天。

为么我们就这么命苦呢

#41


引用 37 楼 mingl11 的回复:
引用 13 楼 woying5510 的回复:
关键是他删程序就麻烦了,我想知道,他怎么能够删程序

应该是他已经进了你的服务器了。。。服务器上有多少网站啊?

有十几个网站

#42


批量替换一下,还是自己写程序吧~~

#43


看IIS日志,看究竟是注入还是变肉鸡了,注入就改代码咯,变肉鸡的话就是该封的端口封掉,3389禁掉,账号权限重新设置一下,禁止Ping命令.........

#44


引用 43 楼 xutao888 的回复:
看IIS日志,看究竟是注入还是变肉鸡了,注入就改代码咯,变肉鸡的话就是该封的端口封掉,3389禁掉,账号权限重新设置一下,禁止Ping命令.........
注入和肉鸡怎么区别

#45


下班了,回家继续关注

#46


二B一点通过网页注入。
牛B一点的发现了安全漏洞。直接进你的服务器或者利用你没有修补的漏洞。多数会采取第二种。第一种太无聊。

不要以为你的服务器多安全。不要以为有杀毒软件有没有病毒。

看过一家上cctv的网站。网上下个新点的工具。点几下鼠标就可以轻松的拿到管理员密码。

#47


引用 41 楼 woying5510 的回复:
引用 37 楼 mingl11 的回复:

引用 13 楼 woying5510 的回复:
关键是他删程序就麻烦了,我想知道,他怎么能够删程序

应该是他已经进了你的服务器了。。。服务器上有多少网站啊?

有十几个网站

网站多了难免有漏洞。。。以前认识一个个专门干拿站的。  

最安全的方法是·····关了4399
智能推荐

注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
© 2014-2019 ITdaan.com 粤ICP备14056181号  

赞助商广告