很多站長(zhǎng)，一覺(jué)醒來(lái)，網(wǎng)站各個(gè)頁(yè)面全部被掛馬，手忙腳亂，經(jīng)過(guò)幾次以后，偶發(fā)現(xiàn)幾種情況。

第一通過(guò)服務(wù)器WEBSHELL

進(jìn)去對(duì)網(wǎng)站掛馬的，這種情況只能是重裝服務(wù)器，進(jìn)行權(quán)限設(shè)置，通過(guò)這樣的服務(wù)器在安全策略設(shè)置不夠好，帳戶的確立，補(bǔ)丁更新，IIS下文件夾下不同權(quán)限的訪問(wèn)權(quán)限，還有第三方軟件的安全性設(shè)置，如SEV-U，SQLSERVER，這些在網(wǎng)站都可以找到的。這種情況我們基本下可以看到C盤根目錄下有可執(zhí)行的可疑文件，用戶組多了未知用戶，權(quán)限有ADMINISTRATOR權(quán)限，這時(shí)候，只能是重裝，因?yàn)槟愕姆��?wù)器被置了。

所以從最先開(kāi)始重裝的時(shí)候要充分考慮到權(quán)限問(wèn)題。(備注:數(shù)據(jù)備份一定要有規(guī)律和及時(shí)性)

第二網(wǎng)站程序被注入

如SQL注入，如上傳代碼漏洞等。一般我們這里分二種情況。

1，網(wǎng)序自主開(kāi)發(fā)，或是網(wǎng)上DOWNLOAD下加自已開(kāi)發(fā)

這樣程序，我們?cè)谇捌陂_(kāi)發(fā)時(shí)要充分考慮到注入與上傳設(shè)置，特別網(wǎng)站下載下來(lái)先殺毒一遍，實(shí)在沒(méi)辦法的，用通用的防注入程序，然事開(kāi)發(fā)好后用網(wǎng)站掃描工具掃描，這里面要著重注意到的是SQL數(shù)居庫(kù)權(quán)限，上傳文件權(quán)限，網(wǎng)站防注入措施，上傳代碼或第三方組件。這幾個(gè)分面充分考慮下，如果被掛，在第一步?jīng)]問(wèn)題的情況下查看IIS日志，查看網(wǎng)站下最新更新文件及新建文件，用殺毒軟件殺出可疑問(wèn)件，如果是靜態(tài)的可采用字符替換器進(jìn)行換，完善網(wǎng)站程序。

2，程序是網(wǎng)上購(gòu)買和采用第三方程序

像這樣的程序一般來(lái)說(shuō)沒(méi)有多大問(wèn)題，但是用的人多，漏洞暴光就越多，從幾個(gè)成熟的產(chǎn)品我都經(jīng)歷過(guò)，這樣的程序我們要做到，第一，盡量不修改原程序結(jié)構(gòu)和數(shù)據(jù)結(jié)構(gòu)，第二，經(jīng)常關(guān)注官方更新及發(fā)布，第三，及時(shí)打補(bǔ)丁升級(jí)，如果您修改的多了，升級(jí)將是很麻煩的事情，像這類的程序被掛馬的會(huì)，第一時(shí)間去官方查看及咨詢，查看這類網(wǎng)站自身的日志，管理權(quán)限等方面，很多人圖方便密碼簡(jiǎn)單，現(xiàn)在會(huì)猜的人很多了。像這類網(wǎng)站及時(shí)打補(bǔ)丁，注重官方發(fā)布應(yīng)該沒(méi)問(wèn)題。

第三，機(jī)房其他IP被攻擊

我經(jīng)歷過(guò)幾次，有幾次，網(wǎng)頁(yè)被掛馬，服務(wù)器上怎么也查不出來(lái)，后來(lái)才發(fā)現(xiàn)，是機(jī)房其他IP中招發(fā)出的惡意攻擊，及時(shí)咨詢機(jī)房人員，像這類的掛馬代碼，通常出現(xiàn)在最上面。

第四，局域網(wǎng)中招

有時(shí)候，公司很多人都在訪問(wèn)網(wǎng)站發(fā)現(xiàn)中招，其實(shí)是其中有電腦中招，打開(kāi)很多網(wǎng)站都中招，用ARP防火墻或是MAC地址查看，查到源機(jī)器，切斷網(wǎng)線。

碰到掛馬是件很煩的事情，關(guān)鍵是站長(zhǎng)要及時(shí)間，冷靜的分析，最快時(shí)間內(nèi)解決問(wèn)題。