首先,我们需要知道服务器被挂马可能造成的影响和原因。服务器被挂马可能影响到服务器的安全性和稳定性,导致网站和应用程序无法正常运行,同时还会导致客户数据的泄露和服务器被用作僵尸网络中的节点。造成服务器被挂马的原因可能包括未及时更新软件、使用弱密码、开放不必要的端口、缺少安全策略等。
如果服务器被挂马,可能会发生以下几种情况:
1、Apache网业服务器被挂马:一是Serv-U被挂马,二是网站被挂黑链;
2、IIS网站服务器被挂马:一般是asp木马被上传到目录,这是由于缺乏必要的安全检查和防护措施。
了解这些后果后对我们的处理是很有帮助的。
其次,服务器被挂马的常规解决办法如下:
1、找到原体和杀体,如果你自己没有脚本调试能力,可以上中国菜鸟论坛发帖求助,有很大机会得到菜鸟高手的帮助,我就得到过好几次帮助,呵呵。
2、用杀毒软件或冰刃等工具删除病毒文件。
3、删除病毒文件的同时要更新安全模块,因为病毒库也在更新,所以一定要及时更新安全模块。
4、以安全模式运行系统,再次检查是否有遗漏的文件,如果还有残留文件删除不了,可以尝试把防火墙关闭,更新安全模块,再以正常模式运行系统。
5、打上最新的漏洞补丁,因为病毒很多时候也是利用漏洞来入侵的,尤其是操作系统漏洞很多,不能忽略。
6、把网站程序和备份程序彻底删除,以免有人再次下载后中毒,再次上传木马。
7、对服务器进行全面杀毒,确定没有病毒残留。
8、做好服务器安全策略,密码修改、权限设置等操作。
最后,我们应该如何检查服务器是否被挂马?
1、用进程查看器(如:任务管理器、systra115)查看是否存在可疑进程;
2、用端口扫描工具(如:SuperScan、Nmap)查看是否存在可疑端口;
3、用文件查看工具(如:FileMon、RegMon)查看系统是否自动加载某些可疑文件;
4、用安全检测工具(如:Sreng、Ad-Aware)对系统进行一次彻底检查;
5、用安全软件(如:AVG Anti-Virus)对系统进行全面杀毒;
6、修改系统密码和服务器管理员密码;
7、删除不必要的和不常用的软件和服务;
8、对系统和服务器进行不定期的安全检查。
除此之外,我们还可以通过以下几种方式来检查和处理:
1、用脚本语言编写特殊的代码,在用户访问时显示其ip地址和所在城市的信息。如果发现大量用户访问同一个城市或地区,就有可能是服务器被挂马。
2、在用户访问时弹出广告窗口,当弹出窗口数量突然增加时,就有可能是服务器被挂马。
3、通过“新开窗口并跳转”等技术将用户跳转到指定的网站或页面,如果发现大量用户访问同一个网站或页面,就有可能是服务器被挂马。
4、通过将iframe嵌套到正常网页中来加载恶意代码或页面,如果发现大量用户访问同一个恶意代码或页面,就有可能是服务器被挂马。
5、在网页中添加恶意脚本来读取用户信息或强制下载恶意代码等,如果发现大量用户下载恶意代码或发生异常情况,就有可能是服务器被挂马。
总之,服务器被挂马是一个常见的问题,但可以通过一些检查和处理方法来预防和解决。及时更新软件和系统补丁、设置强密码和安全策略、使用防病毒软件和防火墙等措施都可以有效地减少服务器被攻击的可能性。另外,定期检查服务器日志和端口使用情况也可以帮助及时发现异常情况并采取相应的措施。