单位网站发现了后门程序，有全面查找后门的办法吗？

pbkings · 发表于 2012-6-8 11:11

今天查看服务器upload文件夹时发现了一个asp文件，打开一看发现是后门程序
能够随意复制、删除、修改、重命名硬盘中的任意文件，还能上传文件到任意位置。貌似还能执行cmd
单位的网站上有很关键的数据，一旦被修改影响非常大，我真是快吓死了。

但是这个文件杀毒软件并不会报，我也是偶然发现的。请问有办法彻底查一下类似的后门文件吗？

nkwd · 发表于 2012-6-8 11:13

看看日志还在不..

pbkings · 发表于 2012-6-8 11:25

系统日志还是数据库日志？

赤色彗星SE · 发表于 2012-6-8 11:42

哈哈让你用windows

嘎嘎

pbkings · 发表于 2012-6-8 11:48

我才不会告诉你不光是用的win，还是win2000呢

这破玩意从我接手就是这样子了，况且我本来就不是网管，实在没人才让我兼差的

如果逐个文件检查的话，是只需要查网页文件夹还是全部都要查啊？

赤色彗星SE · 发表于 2012-6-8 11:50

危险多大还要看他web shell到底拿到多少权限呀

你从先他这个asp登进去看web shell到底是什么用户，能多少操作吧，一般应该是iis用户吧 8知道win现在有没办法提权的

oh win 2000啊，估计应该有很多方法提权吧，一旦提权，那就只能呵呵啦

chachi · 发表于 2012-6-8 12:24

最简单给那个upload目录做个无脚本权限，这样就算有漏洞把webshell传上来，也没法执行

好人修電腦 · 发表于 2012-6-8 13:39

啥年代了还Win2000

用IIS设置好目录权限吧

不过如果人家已经获得了非IIS用户的权限

pbkings · 发表于 2012-6-8 14:57

日...后门程序从文件名上来看应该是07年上传的，权限肯定早提了

我还是建议领导干脆换台服务器吧，这台服务器服役7年了。

如果iis跟数据库不是一台服务器，数据库应该还是安全的吧？

endrollex · 发表于 2012-6-8 15:15

如果不影响功能，IIS里把动态内容全禁用

chachi · 发表于 2012-6-8 15:17

有sql的sa，直接可以提权

好人修電腦 · 发表于 2012-6-8 15:20

如果能看到你链接数据库的密码和数据库名，你觉得DB有没有可能被改？

另外如果还没关过Win2000的默认共享..............

		自动登录	找回密码
密码			立即注册

[网络] 单位网站发现了后门程序，有全面查找后门的办法吗？