本方案主要解决网站的 WEB服务器出现木马的情况后,操作指导手册。根据先期摸索处理的经验,整理此文档,若有不足,请指出补充。
前言:服务器木马的防范应以预防为主,加强软硬件防火墙管理。加强程序健壮性测试,及时检测,修复,操作系统,应用平台,WEB程序可能存在的漏洞和后门。由于面向互联网的WEB服务的特性,决定了WEB服务器具有开放性,无法从根本上拒绝来自互联网任意一台电脑上的非法请求,但也应做好预防,万一出现状况,也能快速的处理修复。
木马入侵期的探测。
在木马入侵期,非法来源的IP会频繁请求服务器,带来网络访问的异常。一方面可以从机房监控的CPU使用率和并发数以及网络流量等参数可以看出异常。
另外可以从WEB的服务器错误日志文件的大小可以看出来。在正常访问情况下,每天日志的大小波动不会很大,且和网站总体PV值曲线相吻合。在前段时间有外界探测或攻击的情况下。WEB的错误日志大小数倍于正常值,且错误日志的内容都是对同一网址的持续请求。就是不正常的访问状况。
感染木马的症状
服务器被置入木马的症状表现有。
1.用360浏览器打开有木马的网页,浏览器状态栏会变红,出现红色警示。
2.某些防病毒软件会报警提示。
3.使用谷歌浏览器访问网站会被禁止。
以上症状并一定会同时出现,搜索引擎,防病毒软件也会有误报的情况。但当有任何一种情况,应足以重视。加强排查。
木马的检测和清除手段
1.如出现有木马的页面警示,可以依照警示内容检查当前页面源码,发现木马所处的位置予以清除。
2.使用谷歌站长工具检查完整。按站长工具检索的结果进行处理。
3.使用360网站安全检测工具进行检测。360网站安全检测工具是360新推出的一项服务,推荐,访问地址是:http://webscan.360.cn
4.WEBSEHLL扫描工具进行服务器程序文件的扫描,检查可疑文件,高危文件是否有木马痕迹。
5.人工排查。 被植入的木马一般都有一定规律性。任何自动化工具都不能取代人工的分析和处理。
木马检测应当注意的几个问题
1.确定木马的类型和感染区域。木马有针对篡改HTML或JS的,有针对程序文件的,有针对数据库的木马。有些木马篡改文件后并不修改“修改时间”属性,有一定隐蔽性,不容易看出哪些文件被改过。
2.要全面排查,不能过分依赖工具检测。工具检测和搜索引擎的原理差不多,不能保证遍历到所有的页面,一定要登录服务器,找出木马的关键字特征,如:链接网址,做全面的文件检索。
3.服务器安全技术是涉及软件工程,脚本技术,数据库技术,硬件,网络等多领域的技术,一个人的知识还是有局限性的,出现问题,应当及时反馈上级领导,协调多方人员共同解决问题。