单位网站发现了后门程序,有全面查找后门的办法吗?
今天查看服务器upload文件夹时发现了一个asp文件,打开一看发现是后门程序能够随意复制、删除、修改、重命名硬盘中的任意文件,还能上传文件到任意位置。貌似还能执行cmd
单位的网站上有很关键的数据,一旦被修改影响非常大,我真是快吓死了。
但是这个文件杀毒软件并不会报,我也是偶然发现的。请问有办法彻底查一下类似的后门文件吗? 看看日志还在不.. 系统日志还是数据库日志? 哈哈 让你用windows
嘎嘎 我才不会告诉你不光是用的win,还是win2000呢
这破玩意从我接手就是这样子了,况且我本来就不是网管,实在没人才让我兼差的
如果逐个文件检查的话,是只需要查网页文件夹还是全部都要查啊? 危险多大还要看他web shell到底拿到多少权限呀
你从先他这个asp登进去看web shell到底是什么用户,能多少操作吧,一般应该是iis用户吧 8知道win现在有没办法提权的
oh win 2000啊,估计应该有很多方法提权吧,一旦提权,那就只能呵呵啦 最简单给那个upload目录做个 无脚本权限,这样就算有漏洞把webshell传上来,也没法执行 啥年代了还Win2000
用IIS设置好目录权限吧
不过如果人家已经获得了非IIS用户的权限 日...后门程序从文件名上来看应该是07年上传的,权限肯定早提了
我还是建议领导干脆换台服务器吧,这台服务器服役7年了。
如果iis跟数据库不是一台服务器,数据库应该还是安全的吧? 如果不影响功能,IIS里把动态内容全禁用 有sql的sa,直接可以提权 如果能看到你链接数据库的密码和数据库名,你觉得DB有没有可能被改?
另外如果还没关过Win2000的默认共享..............
页:
[1]