本文目录一览:
一个网站老是被植入木马病毒,是怎么回事,有解决方
网站总是被植入一些木马病毒代码,如首页文件经常被反复篡改,先检查下文件有无可疑的修改时间,然后再对比下本地的备份文件看看有无多出来的文件,一般都是因为网站有漏洞才会导致被反复篡改和植入跳转代码之类的,如果对程序代码熟悉的话可以自行修复网站漏洞,如果技术不够,无法准确判断的话,可以直接找专业的网站安全公司来处理解决,国内SINE安全、绿盟、启明星辰都是比较有名的安全公司。
如何对付网站暗藏木马
实现在很多人说到挂马,还是比较担心自己的安全,毕竟现在太多的牛人来打造免杀木马,但是我却不把这些木马放在眼里,为什么?听我细细道来,一个木马下载到本地,运行并且关联到注册表中,前提还是一个权限问题,其实很多木马本身就不具备权限这个概念,完全是依赖你系统用户的权限来运行,调用木马的用户具备什么权限那么木马本身就具备什么权限,这个道理我想大家都明白吧。 这里牵扯到一个权限依赖的问题,举个简单的例子,一个恶意网页,用一个具有管理员权限的用户去访问马上就中,但是用一个游客用户去访问却什么事都没有,这就是所谓的权限依赖问题。 大家现在应该清楚我不怕网站挂马的原因了吧,就是利用权限来防御,我在这里建议大家上网时最好不要用具有管理员权限的用户,但是你硬要使用也可以,但是你要设置一番,设置两个具有管理员权限的用户,一个用来安装程序,一个用来上网,安装程序的那个用户不用设置什么权限,但是上网的这个用户却要好好设置一番了,Windows目录(只是windows本身的目录不包括子目录)及system和system32目录设置上网的那个用户只具备读取权限,这个用意我想大家都清楚吧,然后是注册表的权限,设置注册表权限也是一个重点, 注意:2000的注册表权限设置和XP/2003不一样。另外还有一些键值。 HKEY_CLASSES_ROOTexefileshellopencommand HKEY_CLASSES_ROOT xtfileshellopencommand HKEY_CLASSES_ROOTinffileshellopencommand HKEY_CLASSES_ROOTinifileshellopencommand 以上4个键值是一些常用文件的关联。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALL 这个键值是关于系统隐藏属性的。 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain 这两个键值是系统默认主页的。 HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel 这个键值是关于使更改默认主页按钮为灰色不可用的。 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx 以上键值是关于自启动文件的。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 这个键值是关于系统服务的。以上这些键值在你对系统设置好以后再去取消用户的完全控制权限,只给予用户读取权限这只是一部分,比较常见的,当然不是全部。如果大家还有什么其他的见解请请一起来讨论下吧。 其实不知道大家注意到没有,对于一些顽固的文件也可以用权限限制来进行删除,比如在正常模式及安全模式下都无法删除的文件,但是在这些文件在DOS下却很容易就删除了,原理很简单,那就是系统在启动时是用户本身或系统去调用那个文件导致删除不成功,但是我们不允许任何用户去访问这个文件呢,先把这个文件的全部访问用户都删除,然后重起后再给予这个文件用户的完全控制权限来进行删除,有的文件在注销后就可以删除了,但是我在这里还是建议大家重起后再进行删除。
教你封杀FSO木马的侵扰
在宽带非常普及的今天,越来越多的朋友都热衷于架设自己的网站,虽然给系统打上了最新的补丁,也安装了杀毒软件和防火墙,但是网站还是时不时被黑,何故?很大程度上是受到了FSO木马的攻击。
小知识:FSO是FileSystemObject的简称,俗称FSO组件,该组件可以检测并显示系统驱动器的信息分配情况,能创建、改变、删除文件夹,能探测指定的文件夹是否存在,如果存在,还可以提取该文件夹的名称、创建时间等信息。FSO使得对文件的处理变得很容易。
FSO木马就是利用微软的FSO组件对目标主机进行恶意攻击的木马。FSO组件提供了对系统的强大访问能力,正因为它可以对目标主机进行读取、新建、修改、删除、改名等任何我们能够想得到的操作,利用该功能的FSO木马的破坏力就可想而知了。我们该如何防范FSO木马的侵扰呢?解铃还需系铃人,我们只需封杀FSO组件就可以让FSO木马无技可施。
彻底封杀法
在Windows操作系统中,“scrrun.dll”是一个重要文件,正是它驱动FSO组件正常运作。但是对于普通的用户来说,完全可以将“scrrun.dll”文件删除、改名或将它反注册掉,从而避免FSO的侵扰。要反注册该动态链接库,我们只需在“运行”对话框中输入“Regsrv32 /u %systemroot%system32scrrun.dll”并回车即可。大家尽管放心,反注册“scrrun.dll”文件对系统的正常运行不会产生丝毫影响。这是最简单的方法,现在FSO木马无法利用FSO功能了,可我们自己也无法使用了,用户可根据自己的实际情况取舍。
区别对待法
相对彻底封杀,区别对待法要复杂一点,但却能达到选择性放行的效果。我们可以让受限用户无法使用FSO,只允许具有管理员权限的用户使用,既可以有效避免FSO木马的破坏,又可以不影响自己架设网站的需要,可谓是两全齐美的解决方法。在“运行”对话框中输入“cacls %systemroot%system32scrrun.dll /d guests”并回车,这样所有的匿名用户(包括IUSR_Machinename用户)就无法使用该功能了。
提示:区别对待法要求系统所在分区为NTFS格式。
恶意木马程序把自己伪装成Firefox扩展插件
网界网消息 安全厂商McAfee公司发现一种新的恶意软件,该软件把自己伪装成Firefox网络浏览器的一部分。
McAfee将这个木马软件称作“FormSpy”。McAfee表示,已感染另一个叫“Downloader-AXM”的木马的电脑有可能下载FormSpy。这个木马程序最近在垃圾邮件中被发现。
McAfee表示,Downloader-AXM连接到服务器,把其他恶意程序下载到电脑上,而用户完全不知情。FormSpy一旦被下载到电脑上,就自动作为Firefox扩展插件安装。
McAfee表示,这个程序就好像是“NumberedLinks 0.9”扩展插件。这个扩展插件允许用户用键盘的数字键代替鼠标选择链接。
据McAfee说,FormSpy可以把浏览器内的信息传送到另一个网站,这些信息可能包括信用卡号、口令以及电子银行业务个人识别号。McAfee说,FormSpy还会偷窃电子邮件、ICQ即时消息以及FTP(文件传送协议)口令。
网站中病毒或者有木马怎么处理
网站其实本身肯定是不会中病毒的,只能是服务器里面存储的蓝本文件里面比如说某些图片和下载文件里面会存在木马病毒,而遇到了木马病毒后最好的办法自然就是想办法给电脑杀毒了,可以用电脑管家的病毒查杀功能,在服务器里面找出病毒查杀了,就行了。
