×

帮助中心

常见问题
域名类
•  域名介绍
•  注册/续费
•  域名管理
•  域名过户
•  域名转移
•  增值服务
•  域名交易
•  通用网址
•  产品更新日志
邮局类
•  产品简介
•  产品管理
•  邮件客户端
•  邮箱用户操作指南
•  邮箱管理员操作指南
•  产品使用手册
•  代理商控制台操作指南
•  产品更新日志
云虚机类
•  购买与升级
•  FTP
•  主机管理
•  技术问题
•  数据库
•  产品更新日志
ECS云主机类
•  产品更新日志
会员类
•  会员注册
•  信息修改
•  忘记密码
•  账户实名认证
•  产品更新日志
财务类
•  后付费计费
•  在线支付
•  线下汇款
•  发票问题
•  汇款单招领
•  退款问题
•  充值业务
•  产品更新日志
ICP备案
•  备案问题快速咨询通道
•  备案介绍
•  备案账号
•  ICP备案前准备内容
•  ICP备案流程
•  ICP备案操作指导
•  ICP备案信息查看
•  备案合规核查要求
•  资料下载
•  公安联网备案与经营性备案
•  各地管局备案通知
•  常见问题
服务类
•  ICP备案
•  小新服务
•  产品更新日志
网站定制类
•  网站定制问题
•  网站访问问题
新办公类
•  常见问题
•  操作手册下载
云推送
•  云推送常见问题
速成建站
•  网站访问问题
•  网站使用问题
•  产品更新日志
SSL证书
•  SSL证书常见问题
•  产品更新日志
新网云产品类
•  新网云WEB应用防火墙
•  新网云DDoS防护
•  云数据库
•  云产品运维
•  内容分发网络CDN
•  对象存储 S3
资料下载
新手上路

网站挂马原因及防范简析

  • 作者:新网
  • 文章来源:新网
  • 点击数:100
  • 更新时间:2016-06-29 14:50:48

一、黑客为什么要黑网站?

  俗话讲:无利不起早。当今互联网世界中的黑客与黑客行为,已不仅仅是为了炫耀技术、“表达情绪”,而是与实际的经济利益紧密挂钩,形成了完整的“黑客产业链”。

  对于虚拟主机站点和云主机服务器,主要被黑客们用来进行以下操作:

  1)“非法网站导流”——在站点正常页面中,添加博彩等非法信息关键字(植入木马链接),当有人访问该站点时,就可能为非法网站贡献了流量。

  2)“肉鸡控制”——黑客可随时利用被控制的站点或云主机,发送攻击数据包到指定的服务器上,利用客户的主机资源和服务商的带宽资源,完成攻击行为并收取佣金。

 

二、网站被黑后什么样?

  1、被植入木马链接,一般在网页下部或源文件中,会出现类似如下信息:

1.jpg

2.、黑客获取服务器系统管理员权限,管理员组增加异常账号、异常服务、开启异常进程。

异常账号:
admin$、user$ 等以”$”结尾的账号并且加入到管理员组
ASP.NET、IUSR 等不应隶属于管理员组的账号
其它非管理员创建的所有账号
 
异常服务:
描述为无规则文字的服务,例如服务名为:Wscyao uiamguyq
12345678.jpg
 
异常进程:
使用网站执行账号执行的 cmd.exe net.exe 等程序;
使用网站执行账号执行的非执行程序,例如进程中出现 c.txt
 
3、 网站下出现大量的异常目录,目录名称为3-5位无规则随机字符组成,目录中包含php、asp等类型的木马程序,例如:
8888.jpg

三、什么样的网站容易被黑?

  据360公司发布的统计显示:国内超过60%的网站存在漏洞、超过40%的网站存在后门,互联网上每天都在爆发站点被黑、植入木马等攻击事件。黑客主要利用网站中交互性程序或开源的编辑器等组件漏洞进行操作。

另外各类破解版软件、老版本都可能存在安全漏洞,请谨慎使用。

  以下为常见的编辑器漏洞介绍:

编辑器名称
特征
常见漏洞
FCKeditor
网站WEB文件中有“fckeditor”目录。
1)对可上传文件后缀没有限制,导致木马文件被植入。
2)可遍历网站目录。
eWebEditor
网站WEB文件中有“ewebeditor”目录。
1)利用默认后台管理地址和账号、密码进行入侵。
2)可遍历网站目录。
Cute Editor
网站WEB文件中有“CuteEditor”目录。
可以把上传的图片,改名为任意后缀,从而导致木马执行。
KINDEditor
网站WEB文件中有“KINDEditor”目录。
可修改上传文件名称,植入木马文件。

 

四、如何防范网站被黑?

  1) 修改编辑器等组件默认存放路径;

  2) 修改默认管理账号和密码;

  3) 及时更新建站组件及编辑器至最新版本;

  4) 删除不必要的组件、编辑器安装目录;

  5) 不使用无组件上传;

  6) 加入Web应用程序权限验证代码,防止黑客通过访问编辑器直接操作;

  7) 云主机客户可限制上传目录脚本执行权限,限制网站程序存放目录的读写权限;

  8) 云主机客户可关闭不必要的服务和端口,定期检查服务器日志。

       9) 云主机客户可限制上传目录脚本执行权限,限制网站程序存放目录的读写权限;

10) 云主机客户可关闭不必要的服务和端口,定期检查服务器日志。
   

 

五、网站被黑后怎么办?

  1) 您可以将网站WEB及数据库文件下载到本地,通过杀毒软件查杀木马及病毒文件,清理被注入的代码;

  清空服务器端数据后,再重新上传。

  2) 新网可为虚拟主机站点提供30个自然日内的备份文件。如果站点被黑后发现及时,可提供黑客攻击前的网站文件。

  温馨提示:建议您在网站制作完成后,于本地保存一份初始的网站代码文件,这就好比为WINDOWS系统保留一份初始镜像文件,“家中有粮,心中不慌”,避免因未能及时发现黑客攻击行为,导致服务器端无法提供被黑前的网站WEB文件。

 

六、有什么工具帮我检测网站漏洞吗?

  您可以使用360网站安全检测平台(免费注册后即可使用),对网站代码进行漏洞检测、挂马检测和篡改检测。

  具体使用方法请见:https://webscan.360.cn/help/faq29

技术问题

免费咨询获取折扣

Loading