欢迎来到长江万博体育manbetx3.0络官方万博体育manbetx3.0站!我们将竭诚为您服务。
联系我们

长江万博体育manbetx3.0络科技工作室
电话:137-0242-3088
邮箱:foshan520@qq.com
地址:manbetx3.0下载市顺德区大良红岗工业区良杏路188号

万博体育manbetx3.0站建设所在位置:首页 > 新闻中心 > 万博体育manbetx3.0站建设

介绍万博体育manbetx3.0站挂马的种类

资讯来源:长江万博体育manbetx3.0络  所属分类:万博体育manbetx3.0站建设  发布时间:2016-1-23 9:45:52  点击次数:

1、万博体育manbetx3.0页后门挂马
  登录万博体育manbetx3.0站任何页面都出现杀毒报警,按之前的方法查看index.asp,并且去掉了iframe语句。但却发现问题依然存在,于是查看其他文件才发现,所有文件全部加上了挂马语句,即使恢复了首页,但用户访问其他页面的时候依然会蹦出病毒提示。采用备份文件覆盖恢复,重装操作系统等方法都实验以后,隔天后可能再出现被挂马的情况,此时应怀疑属于万博体育manbetx3.0页后门导致,于是检查所有asp程序文件,攻击者往往会采用一些双扩展名的文件存放在,例如图片目录当中,xxxx.jpg.asp文件,打开来看代码类似于<%execute request("sb")%> 这样的语句,明显是一句话后门,从文件名来判断,这种伪装图片的后缀上来的文件,应怀疑是提交图片功能存在上传漏洞,建议停用或者采用云锁进行过滤和检查万博体育manbetx3.0页木马

2、数据库挂马
  访问首页病毒报警,全盘查找,没有发现首页和其他文件被篡改,如果对比所有文件的md5,发现文件没有任何篡改的迹象,也就是说文件还是那些文件,为啥会出现挂马页面呢?可以考虑检查数据库中表单是否被挂马,万博体育manbetx3.0页木马并没有挂在文件里,而是挂在数据库内容里。将数据库中的挂马字段进行修改。可用云锁轻松拦截这些语句。

3、文件调用挂马
  应查看被调用的其他页面,常见的conn.asp等被包含的文件,有可能被插入后门,为啥修改这一个文件就能这么大威力呢?因为所有页面都调用了这个文件来连接数据库。文件可能会包含数据库的ip端口用户名及密码。此时应对数据库进行检查,例如数据库日志寻找一下是否有类似执行master..xp_cmdshell的记录,攻击者可能利用该扩展功能执行了系统命令来修改了文件,建议修改数据库口令,把数据库权限降到pubilc。将1433端口利用ipsec进行屏蔽,只允许本机访问。用云锁的防火墙功能进行拦截,并且可以扫描出被挂马的文件。

4、arp挂马
  用户反映访问万博体育manbetx3.0站的时候,杀毒软件提示病毒,但是登录服务器自己访问http://127.0.0.1或本地ip,却没有发现被挂马,但是所有用户通过域名去访问,就会有提示,可以通过服务器上进行抓包分析,检查是否能发现大量arp包,这种arp包通常是将服务器的mac地址转向另一个ip,利用arp协议进行挂马,这种情况的花需要在交换机上进行mac和ip地址绑定,在交换机上进行配置以后。


    文章由:manbetx3.0下载万博体育manbetx3.0站建设http://www.chang-jiang.com.cn整理提供。


此文关键字:
效果之选,成长之道。整合营销,一站式服务!
  版权所有 © 长江万博体育manbetx3.0络科技工作室   点击这里给我发消息 点击这里给我发消息
  地址:manbetx3.0下载市顺德区大良红岗工业区良杏路188号    联系电话:137-0242-3088    邮箱:foshan520@qq.com
<友情连结> 禅诺科技/ 西安千秋万博体育manbetx3.0络公司/ 西安亿万博体育manbetx3.0科技/