检查网站是否已经被植入暗链以及临时处理方法
一、 检查网站是否已经被被植入暗链
以下三种方法可以任选其一。
方法一:使用手机中的浏览器访问以下网站内部URL进行检查。
/vdWRwrygn
/Down
如:网站域名/vdWRwrygn ,如果出现跳转到涉黄涉赌网站页面的情况,则可以确定网站已经被植入暗链。
方法二:用谷歌浏览器模拟手机端访问“网站域名/vdWRwrygn”进行检查。具体做法为:按F12打开开发者工具,选择手机版按钮,然后顶部选择一个安卓或苹果手机,刷新页面即可,如果显示的是跳转到涉黄涉赌网站页面,则可以确定网站已经被植入暗链。
方法三:使用谷歌浏览器模板百爬虫访问网站首页进行检查。具体操作步骤为:按F12打开开发者工具--更多工具--网络状况,修改UserAgent为百度爬虫:
Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
英文状态下:
中文状态下:
然后访问网站首页,再在网页中点击鼠标右键,在弹出菜单中选择“查看页面源代码”,如果正常网页HTML代码的前面有很多外链地址,则可以确定网站已经被植入暗链。如下图所示:
二、临时处理方法
1、服务器端安装D盾,解压后双击D_Safe_Manage.exe打开软件,在进程中找到w3wp.exe,下方会显示对应的模块;
2、找到C:\Windows\System32\inetsrv相关的、公司信息和说明都为空的DLL文件,记住文件名,例如:iiscgi.dll、httpcgi.dll、w3dtp.dll、custlog.dll(目前发现的几种存在问题的文件名);
3、打开C:\Windows\System32\inetsrv\config\applicationHost.config;可以先复制备份一下;CTRL+F搜索“iiscgi”,找到后删除<add>这一整行,然后搜索前面的name“HttpCgiModule”,找到并删除<add>整行;保存;
4、此时再去用前面说的检查方法进行检查,应该恢复正常了。比如用手机浏览器访问“网站域名/vdWRwrygn“ 或”网站域名/Down”,正常的应该返回404页面。
5、上述步骤仅限临时修复网站被植入暗链的问题。需要注意的是:黑客能通过这种方式来给网站植入暗链,意味着他已经获得了整台服务器的控制权限(可以在\Windows\System32\inetsrv\文件夹下创建文件,可以修改applicationHost.config内容,都是必须要有System或超管权限才能做到的。目前我们还不清楚黑客是如何做到这一点的)。一般来说,被植入暗链的网站服务器肯定还被黑客留下了其他后门以方便下次直接进入服务器并再次植入暗链或其他操作,所以后续必须全面检查网站和服务器端是否留有后门文件,进行彻底查杀,清理完成后建议重置C盘操作系统,重新搭建网站环境。
三、相关建议
1、服务器操作系统建议使用windows2016或以上版本,并及时安装更新补丁(每个月至少一次)。
2、网站系统建议及时更新升级到最新的动易WebFuture的最新版本。
3、务必检查网站服务器操作系统是否已经安装了最新的更新补丁。
4、 务必检查服务器远程账号是否存在弱口令情况(包含但不限于VPN账户密码、远程桌面账户密码、向日葵、ToDesk等)。
5、 务必要修改网站后台目录名和管理认证码,改成不常见的。
6、其它参考《动易安全部署手册》来配置服务器以及网站安全。