前幾年一直收到求助的消息，經(jīng)常是網(wǎng)頁被加了代碼，或者主機(jī)被黑了，這個(gè)時(shí)候，朋友們似乎天塌了下來，慌了手腳，到處找人求助，怎么辦？

不用慌的，KEE告訴你一些處理的應(yīng)急的處理辦法。

第一步，急救

1、情況一：管理員帳號(hào)無法登陸系統(tǒng)。

急救方法：使用ERD Commander恢復(fù)管理員密碼，ERD的界面是仿XP的界面，對(duì)XP\WIN2K/WIN2003適用。ERD Commander是一張可以自啟動(dòng)的系統(tǒng)急救盤，具體的作用參見下面的補(bǔ)充材料

2、情況二：數(shù)據(jù)和程序被破壞，非系統(tǒng)盤盤被格式化，或者被惡意刪除
急救方法：使用EasyRecovery，進(jìn)行恢復(fù)數(shù)據(jù)

3、情況三：其他情況下程序被加插代碼
急救方法：用搜索功能，把ASP或者PHP程序全部搜索出來，然后按時(shí)間排序，使用EditPlus打開所有懷疑的文件，（一般是被黑的文件的日期之后或者是conn.asp等文件），然后用替換所有打開的文件的功能，把所有加了的代碼替換掉，然后按批量保存，可以在幾秒之內(nèi)去掉所有的被加的代碼。


第二步，檢查損失情況，補(bǔ)漏

一般主機(jī)的安全，有5個(gè)方面的安全
1、主機(jī)的硬件的安全管理。比如，硬盤突然壞了，電源燒了等硬件不可控的因素。這可以通過每日備份和線下備份兩種方法來處理。數(shù)據(jù)庫，如果是有客戶或者瀏覽者更新內(nèi)容的，就要每日做好下載備份的工作。程序，一定要有本地的備份。GHOST，對(duì)于硬件損壞，起的作用不大。

2、主機(jī)的操作系統(tǒng)的安全。WIN2K系統(tǒng)因?yàn)橄到y(tǒng)安全策略是比較寬松的，缺省的服務(wù)很多自動(dòng)開放了，WIN2003就已經(jīng)嚴(yán)格了很多。對(duì)于系統(tǒng)，經(jīng)常的是感染操作系統(tǒng)病毒，病毒會(huì)使用大量占用系統(tǒng)的CPU資源，對(duì)于網(wǎng)站的程序，影響不會(huì)太大。而最常見的攻擊是1）使用DDOS洪水攻擊，發(fā)送大量的數(shù)據(jù)包，讓系統(tǒng)死機(jī)后，2）尋找系統(tǒng)開放的端口，利用端口的溢出漏洞獲取管理員密碼和種植系統(tǒng)木馬。一般的對(duì)策是采取硬件防火墻封鎖的端口和封鎖對(duì)方的IP的訪問，其實(shí)也可以采用系統(tǒng)自帶的“本地安全策略”和封鎖本地的端口訪問來達(dá)到這個(gè)目的，功能并不比硬件防火墻差，而且很多硬件防火墻其實(shí)也是用了LINUX系統(tǒng)擴(kuò)展功能來實(shí)現(xiàn)的，本身也有各種的漏洞。殺病毒軟件也是一定要裝的，并且保證病毒庫的最新版本，也是日常要完成的工作。把系統(tǒng)的自動(dòng)升級(jí)功能開了，設(shè)置成自動(dòng)接受，當(dāng)系統(tǒng)補(bǔ)丁下在完畢后，會(huì)在右邊圖標(biāo)那里有個(gè)圓圖標(biāo)，表示不動(dòng)已經(jīng)就緒，可以安裝。

3、應(yīng)用程序的安全。
網(wǎng)站的訪問IIS，文件的上傳下載SERV-U、電子郵件、數(shù)據(jù)庫（Sqlserver），等應(yīng)用程序，這些程序也是在不斷的完善，低版本就有不少的漏洞，這些漏洞是黑客經(jīng)常光顧的地方。要經(jīng)常訪問黑客的站點(diǎn)，并不是讓你去攻擊別人，而是要清楚別人是怎么把你的主機(jī)拿下的，特別是留意你安裝的各種軟件是否有最新的漏洞。軟件的最新版本不一定要追，但最新的漏洞一定要防。
應(yīng)用程序的安全可以通過權(quán)限來設(shè)置。比如Sqlserver的權(quán)限可以通過設(shè)置DB_OWENER等權(quán)限，盡可能把最小的權(quán)限交給應(yīng)用程序。

4、網(wǎng)站程序的安全。
以上幾個(gè)地方被黑了，有的時(shí)候是無能為力的，因?yàn)楹诳涂偙葎e人掌握多一點(diǎn)知識(shí)。但程序的漏洞，卻是自己可以去控制的。象動(dòng)網(wǎng)論壇，動(dòng)易程序，由于是開源程序，會(huì)有很多人分析里面的潛在的漏洞，然后針對(duì)這些漏洞實(shí)施1）上傳木馬 2）SQL注入獲得管理權(quán)。即使是自己編寫的程序，也很容易被掃描漏洞的程序掃描到，或者使用抓包工具，偽造數(shù)據(jù)包，然后實(shí)施攻擊。使用黑客軟件，一個(gè)操作，就可以自動(dòng)在index.asp或者conn.asp里面加插IFRAME的代碼。過濾提交的漏洞，把檢查端放在服務(wù)器。國內(nèi)很多程序已經(jīng)可以檢測(cè)ASP木馬，象KV就可以檢查。程序的登陸那里要加上驗(yàn)證功能，防止掃描密碼軟件進(jìn)行掃描。在IIS設(shè)置那里，把FSO的權(quán)限設(shè)置好了，可以防止一個(gè)網(wǎng)站被黑影響到其他的網(wǎng)站。

5、有害信息
有害信息是網(wǎng)監(jiān)監(jiān)督的重點(diǎn)，一般采取過濾敏感詞和評(píng)論審核的功能。

針對(duì)以上的情況，可以按照以下的步驟逐步去檢查損失情況



TIPS1：檢查是否有黑客軟件或者木馬，可以用搜索整臺(tái)電腦的exe,dll,com和PIF文件，如有可疑的文件，用文件名去搜索www.baidu.com或者www.google.com，看是否是病毒
TIPS2：網(wǎng)站程序是否被黑，可以搜索所有的文件（例如*.asp *.php），檢查文件的時(shí)間，如果是被黑哪個(gè)時(shí)間修改或者新加的，就要打開詳細(xì)檢查下文件的內(nèi)容是否被種植病毒代碼。
TIPS3：數(shù)據(jù)庫的重裝，對(duì)于用戶的管理要謹(jǐn)慎，經(jīng)常是恢復(fù)的程序適當(dāng)，造成數(shù)據(jù)庫無法訪問，最好是在其他地方恢復(fù)數(shù)據(jù)庫，然后生成SQL腳本，在主機(jī)上用SQL查詢管理器重建數(shù)據(jù)庫，再把數(shù)據(jù)倒過去。


第三步，追查是從那里被黑的，找到被黑的漏洞，進(jìn)行修補(bǔ)