网站服务器被劫持,这样解决就可以了

时间:2022-03-21 21:49:36

  下面详细介绍了关于网站服务器被劫持的案例情况,希望能帮助大家解决类似的问题。千叮咛万嘱咐,大家要学会在平时还没出现问题的时候进行安全检查,提早预防。
  运用iis7网站监控,劫持检测应用可以在问题还没发生的时候,就把它扼杀在摇篮里,那么出现了问题,也要学会去解决。
  原理
  服务器端劫持也称为后端劫持,其是通过修改网站动态语言文件,如global.asax、global.asa、conn.asp、conn.php这种文件。这些文件是动态脚本每次加载时都会加载的配置文件,如访问x.php时会加载conn.php。这样的话,只需要修改这些全局的动态脚本文件(如global.asax),访问所有的aspx文件时都会加载这个global.asax文件,可以达到全局劫持的效果。
  表现与检测
  因为这种文件是在服务器上执行的,因此不像前端劫持那样可以分析加载的恶意JS脚本。其需要在服务器上进行分析。一般检测都是要检测全局脚本文件,分析其是否被恶意修改。这种文件一般情况下不会经常修改,因此可以使用文件完整性进行检测。初次配置好了以后生成其MD5或HASH值,并且周期性对比其MD5值是否变化。若变化则进行变化内容的分析与检测。
  案例
  发现一*网站上存在较多博彩类链接。但是对其源码与抓包分析,都没发现可疑JS脚本。这样的话肯定是在服务器端做劫持的。
  于是远程连接其服务器,其网站使用aspx开发,找到其aspx全局加载的文件global.asax。分析其源码,发现存在被修改,增加了爬虫判断条件,若为爬虫访问,则直接跳转到相应的博彩网站。
  针对服务器端的劫持,找到相应的插入的代码。直接将其删除,或者使用备份的文件进行覆盖。但是这样并不能真正解决问题,一般情况下global.asax这种文件被修改,基本上说明黑客已经入侵到相应服务器。因此需要做全面的应急响应,分析日志、查杀webshll、系统层、应用层全面的安全检查。找到黑客是如何入侵进来的并且修复相应的漏洞这样才能真正解决此类问题。