陆续接了几个客户和非客户的故障,使用程序有帝国CMS有其他CMS,问题均是首页index.html被修改了TDK,症状是访问首页就跳转到其他的非法站点。
登录客户服务器和网站后台,云查杀木马,发现没有可疑PHP,后台数据库模板无任何被修改的记录,初步判断只修改了index.html。后台更新首页,或者手工改动index.html为正常文件,然后服务器硬抓包监听,3个小时候回来查看,按照修改日期,发现文件在1小时之前被修改,没有抓到任何提交过程。说明不是从网站提交过来的。是系统级的修改。确定为服务器感染事件。本着一切小心的态度,重新安装服务器系统,恢复备份,就在这时发现问题了:刚装完系统win2008纯净无环境版本,发现装的防火墙(ARP狗)报告了ARP欺骗警告。安装IIS后,建立一个空网站,里面只放一个index.html,发现被修改。于是联系空间商,空间商协助排查,发现是机房ARP蠕虫,空间商修复解决!
还有一个实例,也是首页被改,但是其他PHP文件都被插入了一条一句话木马。所有目录和PHP基本都被修改了,目录里多了很多未知文件,服务器进程不正常。毫无疑问是中毒了。追查来源是因为另一个站使用了一个来源不明的插件导致跨站上传了木马。
为了保证网站安全,请尽量做好服务器安全,LIUNX环境是首选,WIN的服务器做好升级,网站目录权限要做好,避免跨站攻击,一个站出问题所有站出问题。不要服务器上运行软件,尽可能的安装一些防护软件,比如云锁,安全狗等。定期使用PHP云查杀等软件扫描木马。最后重要一点,定时做好网站和数据库备份工作,多日期版本备份。
登录客户服务器和网站后台,云查杀木马,发现没有可疑PHP,后台数据库模板无任何被修改的记录,初步判断只修改了index.html。后台更新首页,或者手工改动index.html为正常文件,然后服务器硬抓包监听,3个小时候回来查看,按照修改日期,发现文件在1小时之前被修改,没有抓到任何提交过程。说明不是从网站提交过来的。是系统级的修改。确定为服务器感染事件。本着一切小心的态度,重新安装服务器系统,恢复备份,就在这时发现问题了:刚装完系统win2008纯净无环境版本,发现装的防火墙(ARP狗)报告了ARP欺骗警告。安装IIS后,建立一个空网站,里面只放一个index.html,发现被修改。于是联系空间商,空间商协助排查,发现是机房ARP蠕虫,空间商修复解决!
还有一个实例,也是首页被改,但是其他PHP文件都被插入了一条一句话木马。所有目录和PHP基本都被修改了,目录里多了很多未知文件,服务器进程不正常。毫无疑问是中毒了。追查来源是因为另一个站使用了一个来源不明的插件导致跨站上传了木马。
为了保证网站安全,请尽量做好服务器安全,LIUNX环境是首选,WIN的服务器做好升级,网站目录权限要做好,避免跨站攻击,一个站出问题所有站出问题。不要服务器上运行软件,尽可能的安装一些防护软件,比如云锁,安全狗等。定期使用PHP云查杀等软件扫描木马。最后重要一点,定时做好网站和数据库备份工作,多日期版本备份。
查看原内容