最头疼的是网站有了流量后,一些黑客不停想尽办法,对已经做出流量的站点进行攻击,有的黑客不做攻击,做什么呢?挂马。
网站被挂马是因为黑客想从被操纵的网站中把流量和访问用户转移到自己站点上,从而快速达到获取流量的目的。
网站被挂马的表现形式有:
1、网站首页添加了一段js代码,当用户打开网页时,发生跳转,并跳转到目标网站。
2、网站部分内页发生跳转,跳转到目标页面。
3、通过改动的js代码判断UA也就是User Agent,如果用户是通过搜索引擎访问网站,则跳转转化到目标网页,如果用户直接通过浏览器直接打开网址,则不发生跳转。
4、网站快照劫持,这种挂马属于服务器端挂马,也就是挂马特征是服务器端动态代码,如php、asp、.net等编程语言,当搜索引擎爬虫来访问网页时,展现的是正常的页面内容,当用户来访时,网页出现的劫持页面,这种挂马一般需要判断蜘蛛来源,比如百度的baiduspider,谷歌的googlebot。
对于网站页面发生挂马,作为站长必须快速处理,虽然和网站被ddos攻击不同,攻击是让网站打不开,挂马是网页能正常打开,但是被劫持,甚至劫持到非法网站上。
如果遇到这种问题,必须从两方面着手,一种是网站程序端排除,排除各种异常代码和注入代码,尽快清理挂马,并排除伪装的木马文件,如异常png文件和exe可执行文件,一些木马文件会伪装成为图片,如果图片无法打开,这种通常有嫌疑,尽快删除,对于顽固图片无法删除,可以采用360安全卫士强制删除。
今天,我们重点讲一下云服务器端怎么处理?
网站文件被挂马,通常黑客已经获取了云服务器端的用户权限,我们对网站文件要进行权限设置,防止木马文件生成新html病毒文件。
第一,网站用户访问一般用户身份是guests来宾用户,而guests来宾用户隶属于users组,我们队users设置“写入”权限为拒绝,这种挂马文件就无法再次对文件进行二次修改。
第二,对于网站挂马严重的站点,必须采用最后一种办法,有的网站中毒比较严重,即使设置了users组的“写入”权限为拒绝,还能修改甚至批量生成不明文件,怎么办?这一招是经过测试的,屡试不爽,就是把超级管理员administrators和systems组的写入权限也设置拒绝,这种情况木马已经获取了云服务器的超级管理员系统权限,必须这样操作,才能有效禁止。