zuixian113 2017-11-09 23:37:13 180次浏览 2条回复 0 0 0

操作系统环境:Windows 2008 R2
应用服务器:IIS7.5
被挂马文件类型:.php、html、.js、.css

具体描述:
1、防火墙端口只开放80、443、3389,其他端口全部禁止访问
2、服务器登录账号密码已修改
3、数据库登录密码已修改
4、IIS7.5 已禁止运行脚本
5、删除原来有被挂马的文件后,过了1~3天,文件再次被修改。

被挂马目录截图
总体.png
多了suspected文件
多了suspected文件.png
某个被挂马的php文件内容
php文件挂马内容.png
某个被挂马的js文件内容
js文件.png
js文件2.png

请教:
1、是否有遇到此类问题的大神,根本原因是什么?后来是如何处理的?
2、不重装系统的情况下,删除被挂马文件后,如何避免文件再次被修改?

  • 回复于 2017-11-10 08:45 举报

    waf啊。

    1 条回复
    回复于 2017-11-12 09:45 回复

    嗯,我看看,感谢解答!

  • 回复于 2017-11-11 09:36 举报

    修改服务器账号密码是无用的,因为你网站某个地方有漏洞。
    问题得治本,你可以用一些网站漏洞扫描工具进行扫描看看哪个页面哪段php代码没有严格过滤传递的参数导致被人恶意注入,建议使用有防范的服务器,例如阿里云的。
    传递参数杜绝使用 $a = $_GET['a']$a = $_POST['a']
    根据传递的类型进行过滤,如:HtmlPurifier::process(\Yii::$app->request->post('a'));HtmlPurifier::process(\Yii::$app->request->get('a')); 比较推荐使用官方的接收变量方式,这只是一个接收并过滤的处理,如果是数字的话,那么就可以使用 intval()
    最后数据库跟服务器密码不应该使用简单的英文加数字组成,应该为 大小写数字符号 混搭。

    1 条回复
    回复于 2017-11-12 09:45 回复

    好的,我再进一步扫描下漏洞,感谢!

您需要登录后才可以回复。登录 | 立即注册