web服务器受到攻击!!!求助.在线等.

522010000 2005-03-25 10:18:00
web服务器Inetpub目录下无缘无故多了一个myservu.exe文件,
web根目录文件夹下多了一个asp木马.
不知道是怎麽把文件传上来的?
是不是iis本身有什麽漏洞?
还是有其他的方法可以把文件传到我的机子上?
求教,
谢谢.

...全文
130 点赞 收藏 10
写回复
10 条回复
sankt 2005年03月26日
up
回复 点赞
wuhuxia 2005年03月26日
不能删除的话,可以在停止web服务的情况下删除木马文件,如newup.asp,su.exe文件,以及其他有疑的文件;打系统补丁以及web补丁;木马是通过程序的上传功能传上来的,所以修改上传文件,最好是自己编写的上传文件;修改有关上传的注册表信息,(可以到网上查找相关信息);系统采用ntfs格式个人意见,供参考
回复 点赞
Aceryt 2005年03月26日
newup.asp应该是用来上传文件的asp。如果不是你的站点自带的,则删除掉它,如果提示正在使用,可以拔掉网线重启到安全模式试试。

另外请第一时间将此站点的IIS的Web访问日志备份到别处,以备为提供入侵检测做分析。
回复 点赞
522010000 2005年03月26日
我把所有者改为administrators,
权限为administrator,system完全控制,
还是打不开.

C:\WINNT\system32\inetsrv\Data
文件夹下又多了一个su.exe.
想删除它,
无法删除newup:拒绝访问.源文件可能正被使用.
搞不清楚他是怎样把文件传上来的,
求教怎样删除他.
回复 点赞
lamking 2005年03月25日
应该是你的站点有上传漏洞.检查一下涉及上传的那些脚本吧
回复 点赞
Aceryt 2005年03月25日
先尝试获得所有权(Take ownership),然后再来更改所有者为自己,再访问。
回复 点赞
oyljerry 2005年03月25日
把补丁打上先
回复 点赞
522010000 2005年03月25日
谢谢楼上,
他在我的文件夹中放了一个asp文件,
我用记事本打开,弹出拒绝访问,
想把它拷到另外的一个文件夹,
弹出无法复制newup:拒绝访问.源文件可能正被使用.
右击属性->>安全,
弹出你只有权查看newup.asp当前的安全性信息.
点确定.
高级-->>所有者,
是internet来宾帐号,
然后无论我怎样更改所有者,
newup.asp都不能访问.
怎麽回事?
求教,
谢谢.


回复 点赞
Aceryt 2005年03月25日
考虑采取一下措施:

1、如果是Windows 2000,将磁盘Everyone Full Control权限去掉,只给管理员和必要的用户和目录必要的访问权限;
2、运行%SystemRoot%\system32\wupdmgr.exe,确保所有Hotfix和SP都打好,另外确保其他软件补丁也打到最新的,包括SQL SP3;
3、安装木马克星,全面扫描一下磁盘;
4、安装BlackICE Server Protection,做本机防火墙;

以上先确保没有木马,再按以下步骤进行:

5、配置好路由器,关闭不必要的端口;
6、将Administrator用户更改密码并且将用户更名,再另外创建一个Administrator,不要给任何权限,密码也设定得很复杂;
7、如果使用Serv-U,确保更新到6.0.0.2以上版本,5.x的都有不同程度的漏洞;
8、将FilesystemObject对象更改名字,不需要使用的用户不要告知;

如果有问题,我们再来讨论,另外就是如lamking说的,上传程序的漏洞最大也最好利用,好好检查一下。
回复 点赞
522010000 2005年03月25日
楼上的能不能说的具体点,
回复 点赞
发动态
发帖子
安全技术/病毒
创建于2007-08-02

8485

社区成员

2.9w+

社区内容

Windows专区 安全技术/病毒
社区公告
暂无公告