检查网站是否已被黑客入侵

作者:动易软件 来源:本站原创 点击数: 更新时间:2017年07月04日

请按以下项目检查您的网站是否已被入侵,若以下的检查项目中有一项或多项符合,即表明您的网站已被入侵,请按附件二中的措施清理木马和恶意注入数据,然后按附件三中的措施加固您的服务器和网站安全。即使您的网站没有被入侵,我们也强烈建议您在升级网站至5.7版后,按附件三中的措施加固您的服务器和网站安全。

一、打开 网站后台 >> 系统设置 >> 模板标签管理 >> 内嵌代码管理 功能,检查是否有多余的、异常的内嵌代码,如文件名后缀为ASPX、ASHX、ASP等可执行类型的内嵌代码,如下图所示:

二、检查网站目录下的IAA文件夹和子文件夹,看除了ADCount.aspx和ADShow.aspx之外,还有没有额外的ASPX、ASHX、ASP等可执行文件。

三、检查网站根目录下的Global.asax文件,与最新的5.7版程序包下的Global.asax文件进行对比,看有没有被植入异常代码。

四、检查各目录下的Web.config文件,与5.7版程序包下的对应目录的Web.config文件进行对比,看有没有被植入异常代码,尤其是httpErrors节点下的错误页处理定义,看有没有不是您主动配置的错误页处理定义,如下图所示。

五、打开 后台管理 >> 用户管理 >> 管理员管理 检查网站的所有管理员账户,看看有没有异常的、不明的管理员账户,特别是超级管理员账户;检查有没有普通管理员账户被篡改为超级管理员账户;检查有没有锁定状态的管理员账户被篡改为正常状态。

六、检查数据库中的PE_Log数据表,看LogID字段中的数字是否为连续号码,若非连续号码且不是您主动删除的日志记录,则表明您的网站可能在被黑客入侵后清除过日志记录。

七、检查数据库中的PE_Admin数据库,看LoginErrorTimes字段中的数字是否异常过大(如大于100),该字段为登录错误次数,若该字段数值过大,则表明您的后台地址可能已外泄并遭受过密码爆破攻击。

八、检查网站根目录下的Default.aspx文件,最新的5.7版程序包下的Default.aspx文件进行对比,看有没有被植入异常代码。

九、使用搜索引擎的抓取诊断工具(如百度站长平台,地址http://zhanzhang.baidu.com/crawltools/index),测试检查抓取结果,将抓取结果与您的页面源代码进行对比,看有没有异常的代码,如下图所示:

十、搜索网站文件夹下的web.config。如果发现不是产品默认自带的web.config,且存放位置很深(在三级子文件夹以内),则可能是黑客放入的文件。请记住存放位置,并将文件发给动易技术人员分析。

33444
本篇文章的Tags:  入侵
如果以上内容未能解决您的问题,欢迎您到我们的讨论区发帖寻求帮助,我们的工作人员会热情为您解答。