技术观点

加强技术投入,共享技术成果

主机被黑的四步五条应急处理措施


编辑:杭州大显网络科技有限公司更新日期:2009-05-26
前几年一直收到求助的消息,经常是网页被加了代码,或者主机被黑了,这个时候,朋友们似乎天塌了下来,慌了手脚,到处找人求助,怎么办?

不用慌的,KEE告诉你一些处理的应急的处理办法。

步,急救

1、情况一:管理员帐号无法登陆系统。

急救方法:使用ERDCommander恢复管理员密码,ERD的界面是仿XP的界面,对XP\WIN2K/WIN2003适用。ERDCommander是一张可以自启动的系统急救盘,具体的作用参见下面的补充材料

2、情况二:数据和程序被破坏,非系统盘盘被格式化,或者被恶意删除
急救方法:使用EasyRecovery,进行恢复数据

3、情况三:其他情况下程序被加插代码
急救方法:用搜索功能,把ASP或者PHP程序全部搜索出来,然后按时间排序,使用EditPlus打开所有怀疑的文件,(一般是被黑的文件的日期之后或者是conn.asp等文件),然后用替换所有打开的文件的功能,把所有加了的代码替换掉,然后按批量保存,可以在几秒之内去掉所有的被加的代码。


第二步,检查损失情况,补漏

一般主机的安全,有5个方面的安全
1、主机的硬件的安全管理。比如,硬盘突然坏了,电源烧了等硬件不可控的因素。这可以通过每日备份和线下备份两种方法来处理。数据库,如果是有客户或者浏览者更新内容的,就要每日做好下载备份的工作。程序,一定要有本地的备份。GHOST,对于硬件损坏,起的作用不大。

2、主机的操作系统的安全。WIN2K系统因为系统安全策略是比较宽松的,缺省的服务很多自动开放了,WIN2003就已经严格了很多。对于系统,经常的是感染操作系统病毒,病毒会使用大量占用系统的CPU资源,对于网站的程序,影响不会太大。而最常见的攻击是1)使用DDOS洪水攻击,发送大量的数据包,让系统死机后,2)寻找系统开放的端口,利用端口的溢出漏洞获取管理员密码和种植系统木马。一般的对策是采取硬件防火墙封锁的端口和封锁对方的IP的访问,其实也可以采用系统自带的“本地安全策略”和封锁本地的端口访问来达到这个目的,功能并不比硬件防火墙差,而且很多硬件防火墙其实也是用了LINUX系统扩展功能来实现的,本身也有各种的漏洞。杀病毒软件也是一定要装的,并且保证病毒库的最新版本,也是日常要完成的工作。把系统的自动升级功能开了,设置成自动接受,当系统补丁下在完毕后,会在右边图标那里有个圆图标,表示不动已经就绪,可以安装。

3、应用程序的安全。
网站的访问IIS,文件的上传下载SERV-U、电子邮件、数据库(Sqlserver),等应用程序,这些程序也是在不断的完善,低版本就有不少的漏洞,这些漏洞是黑客经常光顾的地方。要经常访问黑客的站点,并不是让你去攻击别人,而是要清楚别人是怎么把你的主机拿下的,特别是留意你安装的各种软件是否有最新的漏洞。软件的最新版本不一定要追,但最新的漏洞一定要防。
应用程序的安全可以通过权限来设置。比如Sqlserver的权限可以通过设置DB_OWENER等权限,尽可能把最小的权限交给应用程序。

4、网站程序的安全。
以上几个地方被黑了,有的时候是无能为力的,因为黑客总比别人掌握多一点知识。但程序的漏洞,却是自己可以去控制的。象动网论坛,动易程序,由于是开源程序,会有很多人分析里面的潜在的漏洞,然后针对这些漏洞实施1)上传木马2)SQL注入获得管理权。即使是自己编写的程序,也很容易被扫描漏洞的程序扫描到,或者使用抓包工具,伪造数据包,然后实施攻击。使用黑客软件,一个操作,就可以自动在index.asp或者conn.asp里面加插IFRAME的代码。过滤提交的漏洞,把检查端放在服务器。国内很多程序已经可以检测ASP木马,象KV就可以检查。程序的登陆那里要加上验证功能,防止扫描密码软件进行扫描。在IIS设置那里,把FSO的权限设置好了,可以防止一个网站被黑影响到其他的网站。