杭州交通信息网阿里云服务器转让:我的网站超级管理员密码屡次被串改,急救!
来源:百度文库 编辑:杭州交通信息网 时间:2024/05/02 09:41:14
我的ASP网站自从上次中了木马之后,已经磕磕碰碰地运行了两周,其间超级管理员密码多次被盗,我怀疑系统中藏有收集我密码信息的木马,请高人指点。
我的系统是server2003,数据库是SQL server2003,外加一个论坛。
我所做的一些工作有:
1、系统先后重装过三次;
2、禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
3. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
4. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
5.修改终端服务端口 ,墨认端口3389被改成49892;
6、禁止IPC空连接:
打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”。
7、更改TTL值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值改成258。
8. 删除默认共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0
9. 禁止建立空连接
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”。
10、.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。
11. 更改超级管理员用户名和密码,密码记录在我的书本里面,而没有存放在我的电脑中,因为我怀疑我的电脑也中毒了。
12、使用过木马杀客、金山毒霸、卡巴斯基、木马防线杀毒软件杀过N次,开始杀出Backdoor、灰鸽子、特洛伊木马等40多个感染文件,删除后重装系统,重新杀毒没有发现病毒和木马。
但是,此后我的服务器密码依然三次被盗,昨天气得我把服务器干脆停了。另外,我还发现有人在我的服务器里还放了一个管理后台,可直接管理我的所有后台管理文件,我把它删除后该页面不见了,但随后管理员密码就被串改,是否程序中还有后门?
此外,我的防火墙功能开得好好的,后来被禁用。
顺便说一下,我的网站开发是委托他人做的,而我对技术一窍不通。由于网站交付以来,从没有安稳两个月以上时间,每次出问题我都需要花费3000到5000块来摆平病毒威胁,所以至今仅仅找他们维护网站就花了15000元。一个星期前,我决定自己来管理,结果立刻出现了这类问题。是否我们的程序中有后门?
我打算找一家专业的信得过的网站开发公司逐行检查源代码,但是否值得?有没有更好的办法?
请高手指点,万分感激!
我的系统是server2003,数据库是SQL server2003,外加一个论坛。
我所做的一些工作有:
1、系统先后重装过三次;
2、禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
3. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
4. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
5.修改终端服务端口 ,墨认端口3389被改成49892;
6、禁止IPC空连接:
打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”。
7、更改TTL值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值改成258。
8. 删除默认共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0
9. 禁止建立空连接
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”。
10、.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。
11. 更改超级管理员用户名和密码,密码记录在我的书本里面,而没有存放在我的电脑中,因为我怀疑我的电脑也中毒了。
12、使用过木马杀客、金山毒霸、卡巴斯基、木马防线杀毒软件杀过N次,开始杀出Backdoor、灰鸽子、特洛伊木马等40多个感染文件,删除后重装系统,重新杀毒没有发现病毒和木马。
但是,此后我的服务器密码依然三次被盗,昨天气得我把服务器干脆停了。另外,我还发现有人在我的服务器里还放了一个管理后台,可直接管理我的所有后台管理文件,我把它删除后该页面不见了,但随后管理员密码就被串改,是否程序中还有后门?
此外,我的防火墙功能开得好好的,后来被禁用。
顺便说一下,我的网站开发是委托他人做的,而我对技术一窍不通。由于网站交付以来,从没有安稳两个月以上时间,每次出问题我都需要花费3000到5000块来摆平病毒威胁,所以至今仅仅找他们维护网站就花了15000元。一个星期前,我决定自己来管理,结果立刻出现了这类问题。是否我们的程序中有后门?
我打算找一家专业的信得过的网站开发公司逐行检查源代码,但是否值得?有没有更好的办法?
请高手指点,万分感激!
论坛是什么论坛,asp我曾经用过一个是动网和动易系列的密码修改文件, 你可以查查看看是不是多了什么asp文件,建议你sql数据库坐下合理的安全配置,并且把服务器的帐号权限合理分配一下!
网页代码有漏洞