发布者:售前芳华【已离职】 | 本文章发表于:2023-04-17 阅读数:2900
一台服务器几乎所有网站打开网页HTML都被自动加上如的iframe代码,经检查程序、JS、CSS的时间都没有被修改。这种样式的代码,有的在头部,有的在尾部,部分杀毒软件打开会报毒,打开HTML或ASP、PHP页面,在源码中怎么也找不到这段代码。首先你可以随意建一个HTML文件上传到服务器,通过网站打开,如发现这个文件加入了iframe代码那说明中招了。
第一种方法:检查IIS文档页脚
注意红框处,无特殊情况文档页脚是不会被启用的,如果看到这里勾选并指向了一个本地HTML文件,可以打开指向本地文件查看是否为木马病毒代码。
第二种方法:检查MetaBase.xml文件
MetaBase.xml是IIS里的一个配置文件,位置是:C:\WINDOWS\system32\inetsrv\MetaBase.xml
检查是否被添加上如下一段代码:
--------------------------------------------------------------
AccessFlags="AccessRead | AccessScript"
AppFriendlyName="默认应用程序"
AppIsolated="2"
AppRoot="/LM/W3SVC/81120797/Root"
AuthFlags="AuthAnonymous | AuthNTLM"
DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\iis.htm"
--------------------------------------------------------------
DefaultDocFooter=后面一般都是跟一个本地的文件,木马病毒就在这里了,把这段删除即可。
特别提示:MetaBase.xml无法直接修改,需要停止IIS服务才能修改,或者在IIS管理器中右击本地计算机--选择属性,勾选"允许直接编辑配置数据库",这样就可以在不停止IIS的情况下编辑metabase.xml文件。
第三种方法:检查ISAPI筛选器
目前这些DLL加载的文件,任何一款杀毒软件和杀木马软件还不能有效发现并杀掉。方法:打开IIS,右键点击网站,属性——找到ISAPI选项卡,检查下里面是否多了一些陌生的DLL文件。如果有陌生的DLL删除,重启IIS即可。
第四种方法:检查global.asa木马
先解释一下这个代码的作用:因为global.asa 文件是网站启动的文件,当一个网站被用户访问的时候,会执行Application_Start代码段的内容,当一个用户第一次访问时会执行Session_Start代码段的内容,所以此段代码的作用就是当访问的时候自动下载获取木马内容,上面遇到的就是跳转性作用的木马代码。global.asa木马一样平常不会影响网站的正常运行,黑客一样平常行使global.asa木马不是为了来破坏网站的运行,他们与网站黑链类似,一样平常是对网站的搜索引擎收录产生特别很是恶劣的影响。常体现为搜索引擎收录大量莫名其妙的网站题目,而这些题目绝对不是本身网站发布的内容,点击链接进入的依然是本网站的页面,但题目不同,点击百度快照发现百度提醒:“对不起,您所查看的网页不许可百度保存其快照,您可以直接访问某某网址”,这说明你的网站已经中招了!它的直接后果是网站在搜索引擎的排名降落或者彻底消散,紧张的还会让访问者在访问你的网站的时候电脑中毒!
global.asa这个文件一般是在根目录下的,属于系统文件只能在cmd命令下强制删除。
为什么要做等保?霍霍告诉你
今天有个客户问到,等保是什么?为什么要做等保?今天霍霍(QQ98717253)跟您介绍一下等保全称:信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。什么是等保,为什么要做等保等保分为五级,一至五级等级逐级增高。一般企业申请二级或三级二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。什么是等保,为什么要做等保企业为什么要做等保呢?法律要求、行业要求、安全要求、从事业务主体的上级要求等。什么是等保,为什么要做等保做等保的好处1、公司实力的体现2、商业合作的门槛3、增强企业信誉度4、发现企业信息安全系统的不足,提高防护能力,降低被攻击的风险,提升企业形象等需要等保测评联系快快网络详细情况请联系快快网络霍霍QQ:98717253(另有高低配物理机,云机,加速CDN,隐藏源IP的快快盾,游戏盾等,总有一款适合你的,欢迎咨询)
ddos流量清洗原理,ddos清洗方案
常规流量型的DDos攻击应急防护方式因其选择的引流技术不同而在实现上有不同的差异性,在遇到ddos攻击的时候最常见的就是进行流量清洗。ddos流量清洗原理是什么呢?今天就跟大家讲解下关于ddos攻击的流量清洗方案。 ddos流量清洗原理 1. 检验进攻流:出现异常总流量检测仪器Detector根据总流量收集比如Netflow方法检验到出现异常总流量,分辨是不是有异常DDoS进攻存有。要是有,则通知给出现异常清洗机械Guard。 2. 总流量牵引带:串连布署的出现异常总流量清洗机械Guard则对全部根据的总流量开展清理,旁路布署出现异常总流量清洗机械Guard根据动态路由公布,将原先前往黑客攻击总体目标IP的总流量牵引带至本身来开展清理。 3. 总流量清理:出现异常总流量清理Guard根据特点,基线,回应确定等各种各样方法对进攻总流量开展鉴别,清理。 4. 总流量回注:历经出现异常总流量清理Guard机器设备的清理以后,一切正常浏览总流量被引入到原来互联网中,浏览目地IP。这时从被维护服务器看来,并找不到DDOS进攻,服务项目恢复过来。 ddos清洗方案 1.本地DDos防护设备 一般恶意组织发起DDos攻击时,率先感知并起作用的一般为本地数据中心内的DDos防护设备,金融机构本地防护设备较多采用旁路镜像部署方式。 本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。首先,DDos检测设备日常通过流量基线自学习方式,按各种和防御有关的维度:比如syn报文速率、http访问速率等进行统计,形成流量模型基线,从而生成防御阈值。 学习结束后继续按基线学习的维度做流量统计,并将每一秒钟的统计结果和防御阈值进行比较,超过则认为有异常,通告管理中心。 由管理中心下发引流策略到清洗设备,启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。 经过异常流量清洗之后,为防止流量再次引流至DDos清洗设备,可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络,访问目标系统。 2.运营商清洗服务 当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。 运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证明,运营商清洗服务在应对流量型DDos攻击时较为有效。 3.云清洗服务 当运营商DDos流量清洗不能实现既定效果的情况下,可以考虑紧急启用运营商云清洗服务来进行最后的对决。 依托运营商骨干网分布式部署的异常流量清洗中心,实现分布式近源清洗技术,在运营商骨干网络上靠近攻击源的地方把流量清洗掉,提升攻击对抗能力。 ddos流量清洗原理就是将源站解析到安全厂商云端域名,实现引流、清洗、回注,提升抗D能力。进行这类清洗需要较大的流量路径改动。在遇到ddos攻击不知道如何处理的时候一定要找专业的安全厂商,做好防御措施至关重要。
上行带宽和下行带宽是什么?霍霍告诉你
经常有人问的上行带宽和下行带宽,或者说上行速度和下行速度都是指的是什么?在设置路由器的限速,以及配置其他一些软件的时候经常会遇到上行和下行速度,但是很多人根本就不清楚这两个所代表的含义,更不要说配置了,今天霍霍就来介绍一下它们的具体含义。我们在访问互联网时存在两种行为:上传数据,下载数据。上行带宽:是指在服务器上传数据的速度,对用户来说是从服务器里下载数据的速度。下行带宽:是指服务器下载东西的速度。简单来说,我们访问一个网站或者下载视频,消耗的是对方服务器的上行带宽,消耗的是自己的下行带宽。下行通常是不限的,而且流量的计算一般都是以上行的来计算的。所以,客户端上传资源,对服务器的带宽基本没有影响,因为服务器的下行基本不限的,跟客户端本身网络的带宽有影响;而客户端下载资源,除了跟服务器的带宽有影响,跟客户端本身的网络带宽也有影响的。有些朋友还有一个疑问,发现在使用的过程中,发现电脑中下载的速度根本就达不到自己办理的宽带的标准。例如服务器是100M的带宽,结果下载速度只有10M/s左右的速度,剩下的去哪了呢?是因为带宽下行速度和Windows电脑上面下行速度的单位不一样,Windows电脑的单位是KBbs,而带宽的单位是 Kbbs,1B=8b。例如你从带宽运营商那里办理了10M的带宽,10Mbps=10240Kbps/8=1280KBps,所以你在电脑上最大的下载速度只有1280KBps,也就是只有1M/s左右。所以不要再说宽带公司坑人,办理的宽带扣量了,只不过是计算的单位不同。快快网络厦门大带宽在海峡机房是福建省境内规模最大T3级别电信五星级数据中心,具备完善的机房设施,安全稳定的网络有效保证高品质网络环境和充足的带宽资源,能满足您网络游戏、网页游戏、CDN加速布点、视频资源中心、下载站资源中心、音乐在线播放等不同的应用需求。客户遍及政府、金融、IT、互联网、物流、制造等各个行业 ,是高端用户最理想的选择。 高防安全专家快快网络!-------新一代云安全引领者-----------------快快i9,就是最好i9!快快i9,才是真正i9! 快快网络霍霍QQ-98717253。
阅读数:21182 | 2023-04-25 14:08:36
阅读数:12377 | 2023-04-21 09:42:32
阅读数:8457 | 2023-04-24 12:00:42
阅读数:7477 | 2023-06-09 03:03:03
阅读数:6330 | 2023-05-26 01:02:03
阅读数:5173 | 2024-04-03 15:05:05
阅读数:5032 | 2023-06-30 06:04:04
阅读数:5030 | 2023-06-02 00:02:04
阅读数:21182 | 2023-04-25 14:08:36
阅读数:12377 | 2023-04-21 09:42:32
阅读数:8457 | 2023-04-24 12:00:42
阅读数:7477 | 2023-06-09 03:03:03
阅读数:6330 | 2023-05-26 01:02:03
阅读数:5173 | 2024-04-03 15:05:05
阅读数:5032 | 2023-06-30 06:04:04
阅读数:5030 | 2023-06-02 00:02:04
发布者:售前芳华【已离职】 | 本文章发表于:2023-04-17
一台服务器几乎所有网站打开网页HTML都被自动加上如的iframe代码,经检查程序、JS、CSS的时间都没有被修改。这种样式的代码,有的在头部,有的在尾部,部分杀毒软件打开会报毒,打开HTML或ASP、PHP页面,在源码中怎么也找不到这段代码。首先你可以随意建一个HTML文件上传到服务器,通过网站打开,如发现这个文件加入了iframe代码那说明中招了。
第一种方法:检查IIS文档页脚
注意红框处,无特殊情况文档页脚是不会被启用的,如果看到这里勾选并指向了一个本地HTML文件,可以打开指向本地文件查看是否为木马病毒代码。
第二种方法:检查MetaBase.xml文件
MetaBase.xml是IIS里的一个配置文件,位置是:C:\WINDOWS\system32\inetsrv\MetaBase.xml
检查是否被添加上如下一段代码:
--------------------------------------------------------------
AccessFlags="AccessRead | AccessScript"
AppFriendlyName="默认应用程序"
AppIsolated="2"
AppRoot="/LM/W3SVC/81120797/Root"
AuthFlags="AuthAnonymous | AuthNTLM"
DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\iis.htm"
--------------------------------------------------------------
DefaultDocFooter=后面一般都是跟一个本地的文件,木马病毒就在这里了,把这段删除即可。
特别提示:MetaBase.xml无法直接修改,需要停止IIS服务才能修改,或者在IIS管理器中右击本地计算机--选择属性,勾选"允许直接编辑配置数据库",这样就可以在不停止IIS的情况下编辑metabase.xml文件。
第三种方法:检查ISAPI筛选器
目前这些DLL加载的文件,任何一款杀毒软件和杀木马软件还不能有效发现并杀掉。方法:打开IIS,右键点击网站,属性——找到ISAPI选项卡,检查下里面是否多了一些陌生的DLL文件。如果有陌生的DLL删除,重启IIS即可。
第四种方法:检查global.asa木马
先解释一下这个代码的作用:因为global.asa 文件是网站启动的文件,当一个网站被用户访问的时候,会执行Application_Start代码段的内容,当一个用户第一次访问时会执行Session_Start代码段的内容,所以此段代码的作用就是当访问的时候自动下载获取木马内容,上面遇到的就是跳转性作用的木马代码。global.asa木马一样平常不会影响网站的正常运行,黑客一样平常行使global.asa木马不是为了来破坏网站的运行,他们与网站黑链类似,一样平常是对网站的搜索引擎收录产生特别很是恶劣的影响。常体现为搜索引擎收录大量莫名其妙的网站题目,而这些题目绝对不是本身网站发布的内容,点击链接进入的依然是本网站的页面,但题目不同,点击百度快照发现百度提醒:“对不起,您所查看的网页不许可百度保存其快照,您可以直接访问某某网址”,这说明你的网站已经中招了!它的直接后果是网站在搜索引擎的排名降落或者彻底消散,紧张的还会让访问者在访问你的网站的时候电脑中毒!
global.asa这个文件一般是在根目录下的,属于系统文件只能在cmd命令下强制删除。
为什么要做等保?霍霍告诉你
今天有个客户问到,等保是什么?为什么要做等保?今天霍霍(QQ98717253)跟您介绍一下等保全称:信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。什么是等保,为什么要做等保等保分为五级,一至五级等级逐级增高。一般企业申请二级或三级二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。什么是等保,为什么要做等保企业为什么要做等保呢?法律要求、行业要求、安全要求、从事业务主体的上级要求等。什么是等保,为什么要做等保做等保的好处1、公司实力的体现2、商业合作的门槛3、增强企业信誉度4、发现企业信息安全系统的不足,提高防护能力,降低被攻击的风险,提升企业形象等需要等保测评联系快快网络详细情况请联系快快网络霍霍QQ:98717253(另有高低配物理机,云机,加速CDN,隐藏源IP的快快盾,游戏盾等,总有一款适合你的,欢迎咨询)
ddos流量清洗原理,ddos清洗方案
常规流量型的DDos攻击应急防护方式因其选择的引流技术不同而在实现上有不同的差异性,在遇到ddos攻击的时候最常见的就是进行流量清洗。ddos流量清洗原理是什么呢?今天就跟大家讲解下关于ddos攻击的流量清洗方案。 ddos流量清洗原理 1. 检验进攻流:出现异常总流量检测仪器Detector根据总流量收集比如Netflow方法检验到出现异常总流量,分辨是不是有异常DDoS进攻存有。要是有,则通知给出现异常清洗机械Guard。 2. 总流量牵引带:串连布署的出现异常总流量清洗机械Guard则对全部根据的总流量开展清理,旁路布署出现异常总流量清洗机械Guard根据动态路由公布,将原先前往黑客攻击总体目标IP的总流量牵引带至本身来开展清理。 3. 总流量清理:出现异常总流量清理Guard根据特点,基线,回应确定等各种各样方法对进攻总流量开展鉴别,清理。 4. 总流量回注:历经出现异常总流量清理Guard机器设备的清理以后,一切正常浏览总流量被引入到原来互联网中,浏览目地IP。这时从被维护服务器看来,并找不到DDOS进攻,服务项目恢复过来。 ddos清洗方案 1.本地DDos防护设备 一般恶意组织发起DDos攻击时,率先感知并起作用的一般为本地数据中心内的DDos防护设备,金融机构本地防护设备较多采用旁路镜像部署方式。 本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。首先,DDos检测设备日常通过流量基线自学习方式,按各种和防御有关的维度:比如syn报文速率、http访问速率等进行统计,形成流量模型基线,从而生成防御阈值。 学习结束后继续按基线学习的维度做流量统计,并将每一秒钟的统计结果和防御阈值进行比较,超过则认为有异常,通告管理中心。 由管理中心下发引流策略到清洗设备,启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。 经过异常流量清洗之后,为防止流量再次引流至DDos清洗设备,可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络,访问目标系统。 2.运营商清洗服务 当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。 运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证明,运营商清洗服务在应对流量型DDos攻击时较为有效。 3.云清洗服务 当运营商DDos流量清洗不能实现既定效果的情况下,可以考虑紧急启用运营商云清洗服务来进行最后的对决。 依托运营商骨干网分布式部署的异常流量清洗中心,实现分布式近源清洗技术,在运营商骨干网络上靠近攻击源的地方把流量清洗掉,提升攻击对抗能力。 ddos流量清洗原理就是将源站解析到安全厂商云端域名,实现引流、清洗、回注,提升抗D能力。进行这类清洗需要较大的流量路径改动。在遇到ddos攻击不知道如何处理的时候一定要找专业的安全厂商,做好防御措施至关重要。
上行带宽和下行带宽是什么?霍霍告诉你
经常有人问的上行带宽和下行带宽,或者说上行速度和下行速度都是指的是什么?在设置路由器的限速,以及配置其他一些软件的时候经常会遇到上行和下行速度,但是很多人根本就不清楚这两个所代表的含义,更不要说配置了,今天霍霍就来介绍一下它们的具体含义。我们在访问互联网时存在两种行为:上传数据,下载数据。上行带宽:是指在服务器上传数据的速度,对用户来说是从服务器里下载数据的速度。下行带宽:是指服务器下载东西的速度。简单来说,我们访问一个网站或者下载视频,消耗的是对方服务器的上行带宽,消耗的是自己的下行带宽。下行通常是不限的,而且流量的计算一般都是以上行的来计算的。所以,客户端上传资源,对服务器的带宽基本没有影响,因为服务器的下行基本不限的,跟客户端本身网络的带宽有影响;而客户端下载资源,除了跟服务器的带宽有影响,跟客户端本身的网络带宽也有影响的。有些朋友还有一个疑问,发现在使用的过程中,发现电脑中下载的速度根本就达不到自己办理的宽带的标准。例如服务器是100M的带宽,结果下载速度只有10M/s左右的速度,剩下的去哪了呢?是因为带宽下行速度和Windows电脑上面下行速度的单位不一样,Windows电脑的单位是KBbs,而带宽的单位是 Kbbs,1B=8b。例如你从带宽运营商那里办理了10M的带宽,10Mbps=10240Kbps/8=1280KBps,所以你在电脑上最大的下载速度只有1280KBps,也就是只有1M/s左右。所以不要再说宽带公司坑人,办理的宽带扣量了,只不过是计算的单位不同。快快网络厦门大带宽在海峡机房是福建省境内规模最大T3级别电信五星级数据中心,具备完善的机房设施,安全稳定的网络有效保证高品质网络环境和充足的带宽资源,能满足您网络游戏、网页游戏、CDN加速布点、视频资源中心、下载站资源中心、音乐在线播放等不同的应用需求。客户遍及政府、金融、IT、互联网、物流、制造等各个行业 ,是高端用户最理想的选择。 高防安全专家快快网络!-------新一代云安全引领者-----------------快快i9,就是最好i9!快快i9,才是真正i9! 快快网络霍霍QQ-98717253。
查看更多文章 >
最新活动
闽公网安备 35020302000839号
公安机关联网备案号 35020301000110
云安全相关活动
