服務器被掛馬的一般解決方法

 
服務器被掛馬的原因很多,在解決之前,首先要弄清楚被掛馬的類型.

A) 首先按服務器上的文件是否被修改,分成ARP中毒,及非ARP中毒, ARP中毒是目前最普遍的掛馬現(xiàn)象.碰到掛馬首先應該檢查這個.

ARP掛馬現(xiàn)象:  IE訪問時,站點被掛馬了,但是到服務器上查看實際的文件時,發(fā)現(xiàn)服務器上的文件并沒有被修改.

ARP掛馬的解決方法:  及時與機房聯(lián)系, 是由于機房中跟你同一個機柜的服務器中有一臺服務器中了ARP病毒, 機房檢查出該機器之后,把該機器關(guān)掉,即可恢復正常.

B) 在排除了ARP掛馬的可能性之后, 如果你的服務器上網(wǎng)站程序確實被修改了, 根據(jù)被掛馬網(wǎng)站的數(shù)量分成以下幾種類型:

(1)  個別網(wǎng)站被掛馬.

       現(xiàn)象: 只有一個或兩個網(wǎng)站被掛馬,其它網(wǎng)站均沒有問題.

       解決: 一般是網(wǎng)站本身程序有問題. 可以通知客戶自行解決,不屬于IDC提供商的責任范圍.

              如果想要幫客戶解決,可以先檢查一下看客戶網(wǎng)站上是否存在WEB上傳程序, HTML在線編程程序,圖片在線上傳的程序,大部是這類程序有問題. 

               如果不需要用到這類程序,可以WinIIS控制面板里設(shè)置一下站點主目錄的權(quán)限, 把寫權(quán)限去掉,留下只讀與執(zhí)行即可.

(2)  同一類型的網(wǎng)站被掛碼.

      現(xiàn)象:  數(shù)個網(wǎng)站被掛馬,且被掛馬的網(wǎng)站內(nèi)容是同一類型的網(wǎng)站,比如使用同一種論壇程序,同一種在線上傳程序,同一種商城等.

      解決:  大部分是由于這類論壇或商城程序有漏洞. 可以建議升級一下相關(guān)的程序,或者同方法 (1)一樣,在WinIIS控制面板里把站點主目錄的寫權(quán)限去掉,只留下讀與執(zhí)行權(quán)限

(3)  整臺服務器大部分網(wǎng)站都被掛馬了.

      現(xiàn)象:  服務器在大部分網(wǎng)站都被掛馬了, 這種多半是由于服務器安全整體安全問題.

      解決: 一般需要從以下方面檢查服務器的安全.且查出問題之后, 如果沒有十足把握, 一般建議需要重裝服務器,才能根除.

                檢查磁盤的權(quán)限設(shè)置是否有問題,特別的C盤的權(quán)限.  其它盤是否有特別上不必要的權(quán)限,一般建議其它盤符及d:\www\web\目錄只留下administrators及system權(quán)限就行了,不要留下任何其它用戶的權(quán)限.

               檢查serv-u沒有設(shè)置管理密碼

               檢查MSSQL的SA密碼是否過于簡單或空密碼

               檢查系統(tǒng)的啟動項,看是否有不必要的程序啟動.

               檢查任務管理器,看是否有可疑的進程

               檢查系統(tǒng)的服務,看是否有可疑的服務啟動