为什么服务器老是中木马?服务器里面的木马怎么查杀?

CDN测评 0 5338

日常服务器安全管理中,最经常遇到的应该就是服务器中木马了,特别是对于一些无法配置安全攻防团队的企业来说,服务器安全隐患始终存在。那么为什么服务器老是得木马?服务器里面的木马怎么查杀?我们一起来了解下吧。

为什么服务器老是得木马

1、源程序漏洞

  源程序漏洞的严重性;目前互联网中的网站程序都大多来自网络下载;这样建站会省去很多的时间,也很方便;公开的源代码存在一定的安全隐患;做网站的设计师不可能把所有的文件打开查看源代码是什么意思,所以就会有不少非法份子研究各个源码的漏洞,破解各个网站,然后通过这些网站来达到盈利的目的;所以就会有很多网站被置入黑链、弹出一些其它的信息或直接打不开。

  2、FTP漏洞

  FTP漏洞是利用FTP入侵空间,得到服务器源码,从而入侵网站的一个方式,从而控制网站,利用网站从事盈利行为的方式,在空间安全中,WEB服务器安全也是存在漏洞的,不法分子会利用服务器这些安全漏洞,达到入侵服务器的目的,然后控制整个网站,获取利益。

  3、上网行为安全

  有些网站自带的一些木马病毒,当你直接不慎进入此类网站的时候,也有可能让服务器中毒。用户首先要明白的是自己租用服务器是做什么的。服务器与电脑的价值并不相同,用户需要让服务器中的数据能在24小时状态下让合格的访问者随时读取。因而用户应该保持服务器的24小時的稳定运行,所以稳定是服务器的第一要务。而如果用户认为服务器用来下载娱乐视频或者打游戏更方便,那么用户还是买一台高配置的pc机会更实惠,所以用户在使用服务器的时候要清楚自己该做什么以及不该做什么。

  4、后台口令安全

  服务器托管后台密码账号建议重新设置,千万不能是初始密码,而且尽量定期更改密码。最后提醒服务器托管用户养成日常良好的维护习惯将有助于与服务器的稳定运行。

  为什么服务器老是得木马,下面我们来详细分析服务器得木马的几种情况:

  首先是口令安全

  当您拿到我们提供的IP和账户密码那一刻,您就成了这个服务器的主人,这个时候请您立即修改服务器的登陆管理密码,就如同给房间换钥匙一样。而且只有您能够进入管理,我们服务商是没有权力和无法再擅自进去了的。以后 需要我们维护的时候,都是需要您的密码授权,我们才可以配合进去。

  这个密码一定要设置复杂点,并妥善保管。现在网络上很多黑客都是通过穷举扫描账户密码来入侵服务器的,虽然口令安全入侵的不多,但是如果您的密码设置过于简单,那么被黑的几率是非常大的。有的客户还是会很疑惑,为什么同样的简单的密码,以前自己在公司内部或者在家里都没有被入侵,一旦放在机房里就被入侵了。这是因为您之前是在自己的内部网络,而服务器公网上就不一样了,那是一片充满血雨腥风的江湖,随时暗藏着杀机。目前一些90后的小黑客还是比较多的,整天拿个工具找站点扫啊扫,运气不好就很容易被扫描到被入侵,比如如果一个打好更新补丁对了的不开任何服务应用windows 2003 server的服务器,只要默认开了3389远程桌面,如果这个时候将其接入到互联网上,设置公网IP,密码如果一简单,譬如123456或者!@#,qweasd这样的很简单很规律的密码,那么估计不出半小时就被黑了,不管您信不信,我是信了的。网上一搜索“3389爆破工具”,“3389弱口令”什么的,一堆工具出来了,发动入侵真是相当简单了。

  file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image001.jpg

  file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg

  file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image003.jpg

  以上这些搜索得到的结果可以看出,密码不安全是多么的危险。

  另外包括服务器上安装的数据库的MS-SQL的SA密码,MYSQL的ROOT密码,都务必要设置复杂,只要是可以外部连接的,需要密码验证的地方,都务必给上复杂的,充满符号,数字,字母的密码。但是也别复杂的自己都记不了。有的客户安装了MS-SQL数据库,结果密码写成了空,或者将SA密码设置的很简单,类似123456一类的,结果导致老被入侵,刚开始老在排查是不是程序有漏洞了,由于是买的商业版程序,开发生说没有出安全问题,结果后来才找到是数据库口令弱了,而且SA账户平时都没有在用,所以很忽略了。另外有的客户即使设置了很复杂的SQL口令,但是WEB的程序一旦出现漏洞,导致通过WEB提升权限。

  有的虚拟主机客户FTP的账户密码也设置的很简单,有的密码和FTP用户名一样,结果也出现被黑,虽然我们都在想没哪个专门去尝试密码,但有很多工具软件就是可以随机去做这些事情的。

  其次是应用程序安全

  举个例子比如很多网站的CMS的数据库是data默认就能下载的,很多朋友就没改。人家官方为了方便大家安装,说明文件说的很清楚让安装好需要修改。可是有的客户就偏偏忘记改了,让小黑客们有了可趁之机。黑客直接下载数据库,查看里面的密码MD5值,破解就可以了。

  从我们多年做IDC的经验来分析,目前网站被黑有90%以上的情况就是有程序漏洞,不安全的插件,版本没有及时的升级更新的原因。从网上下载个源码拿过来随便杀个毒就上传服务器使用了,其实好多源码都是有问题问题还是要自己改的。而且又时候公开发行的CMS程序也会出现问题,有时候一个漏洞一出来,导致网上大批的站被黑,就是因为都用了同样的网站程序,而且很多都是现成拿来没有再做比较完善的二次开发改动。

  还有些客户们容易走入依靠杀毒软件误区。认为服务器上有杀毒软件,或者安装有防护墙就有用了,其实源码杀毒没多大用的。弄明白杀毒软件特征码原理就清楚了,编程代码是无法查杀的。况且网页编程语言本来就是双刃的。图片木马就是很好的例子,简单的一句话木马插到图片里什么杀毒软件都是没用的,也许有客户会觉得用php或.net是不是就安全些,其实是一旦被出漏洞了,危害更大,因为相对来说,运行.net和php 对系统要求的权限更大些,对组件的支持也更多。

服务器里面的木马怎么查杀?不了解的朋友可以按照下面的步骤来执行:

  1. 修改系统管理员账户的密码

  建议密码长度不小于8位,并且使用大写字母、小写字母、数字、特殊字符组合。

  2. 修改远程登录端口

  开启防火墙限制允许登录的IP地址,防火墙只开放特定的服务端口。建议对FTP、数据库等这些不需要对所有用户开放的服务进行源IP访问控制。

  3. 检查是否有开放未授权的端口

  如果有,关闭未授权的端口。

  Windows操作系统:在CMD命令行,输入netstat /ano命令检查端口。

  Linux操作系统:执行netstat –anp命令查看。

  4. 检查是否有陌生的异常进程在运行

  如果有,则关闭该进程,和服务器管理员确认是否可以删除该异常进程所使用的文件。

  Windows操作系统检查:选择 开始 > 运行,输入msinfo32,选择 软件环境 > 正在运行的任务,进行检查。

  Linux系统检查:通过执行ps -ef或top命令查看。

  5. 安装服务器安全狗,对服务器进行全盘病毒扫描和查杀

  如果需要删除系统中的未知账户,Windows系统还需要检查注册表中的SAM键值是否有隐藏账户。

  如果有Web服务的,限制Web运行账户对文件系统的访问权限,仅开放只读权限。

     blob.png

 

  关于为什么服务器老是得木马以及服务器里面的木马怎么查杀就为大家介绍到这里,服务器中木马是一个比较普遍的现象,只要能够做好服务器的日常安全防护工作,并且配置好服务器安全软件、防火墙、以及自身做好安全配置,基本就能够应付普通的入侵攻击了。

                 致富热线  : 1589732

也许您对下面的内容还感兴趣:

留言0

评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。