Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[求助] 挂马劫持自查处理方法(360 百度 等 )

[复制链接]
hhb121 发表于 2017-10-10 20:58:21 | 显示全部楼层 |阅读模式
直接上干货:
例子:
1 百度或360 等其他搜索引擎 通过关键词访问网站 跳转到菠菜等网站
2 直接访问 出现弹窗,或者访问偶尔跳转到菠菜等网站,因为加了判断,甚至加了admin组 地区识别代码 导致站长发现时 已经被降权

别相信什么杀毒工具,清了木马又能怎么样?照样还是接着挂,并且部分php一句话已经可以过杀毒。
别骗自己说,我重新做系统,重新装程序。导入数据库就能避免被2次黑,这个不科学,没从根本解决问题。

中了木马的第一件事 不是想怎么恢复,
首先(去百度 360 站长平台 进行闭站保护。避免收录过多,导致权重下降/被k)
其次 关闭网站,避免访客有进一步损失。如跳转到带有网页木马的网址,导致访客经济损失。

权限设置
下面以win2008主机系列为例子(linux同理

win主机,每个应用池都有一个独立的名称,一般会在建立网站的时候自动生成,而这个应用池名称 又叫虚拟账户
该用户组为最低权限可用用户组级别,能满足建站需要。这个账户 在计算机管理用户组 角色中查不到,所以叫虚拟账户。
因为本身是不存在的,是驻足在应用池中的。所以这个账户安全系数非常高。

作用 对服务器上面的每个站点进行隔离,锁定账户权限在当前目录,这样也就不存在所谓的提权了。

我们这样设置,由于没办法上传图片,所以 就接着码字吧。

首先 取消被黑网站的其他用户组全部权限,保留从服务器盘符根目录继承的 administrator 以及system 然后 在 网站根目录 添加

IIS AppPool\应用程序池名  (注意多个网站尽量把应用池分开,这样性能会好些。)这样的账户。 给予这个账户  (读取和执行)(列出文件夹内容)(读取) 3个权限。即可,把权限应用到子目录和文件。

其他目录
data 目录 给予该账户  IIS AppPool\应用程序池名   全部权限(即 写入修改 ),然后取消data目录 脚本执行功能。
source/plugin  中的插件因为部分插件需要写入到本插件目录,按需修改即可。
uc_server/data/tmp  目录给予全部权限,并去掉脚本执行功能,保证头像正常上传即可。

一般来说,目前就已经做的差不多了。

由于
IIS AppPool\应用程序池名
这个用户组权限的特殊性,目前程序已经很安全了

注入 只能在含漏洞的当前目录(本身无跨目录权限),而包含注入的可读取执行 例如  source\function 由于文件属性为读取和执行,而并非写入,这样就避免了被篡改。

上传木马文件亲测,无法跨目录,无法提权。

做好了基本的服务器权限,来恢复网站文件。

最稳妥的办法,https://discuz.dismall.com/thread-3825961-1-1.html  执行1 2 3步即可。



这样,网站目前已经安全了。

接下来 继续做安全:

修改 复杂一点的ftp账户密码, 网站后台 账户密码修改复杂些,禁止数据库远程连接。

修复系统补丁,如服务器内存充足,可按照防护软件,不然 就开启默认win防火墙。


部分云主机可以设置安全组 关闭不需要的端口,一般保留 80 20 21 3306 3389(可修改)即可。


其他:及时关注官方  https://gitee.com/ComsenzDiscuz/DiscuzX/attach_files 码云 最新程序动态。


到这里,即使dZ程序本身存在未知漏洞, 也不会造成什么不可逆的损失,不管是新手还是老手,记得定期做数据备份,这样才是万无一失的。

z110110 发表于 2017-10-10 21:46:33 | 显示全部楼层
说的非常好,谢谢分享
回复

使用道具 举报

janyao 发表于 2017-10-23 09:00:02 | 显示全部楼层
谢谢码字,辛苦了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-29 06:25 , Processed in 0.021395 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表