网站挂马解决方案

Urlscan应对SQL注入攻击:

UrlScan version 3.1是微软开发的一款工具,可以阻止HTTP请求。微软说这款工具可以阻止有害的请求到达服务器上的Web应用程序。按照设计这种工具可以从urlscan.ini文件中读取配置。

一:软件下载地址:

http://download.microsoft.com/download/c/7/a/c7a411ed-1c0f-48c1-90e5-6d3a1ca054c1/urlscan_v31_x86.msi

二:安装说明:

默认安装目录System32/InetSvr/URLScan

urlscan.ini:软件配置文件,所有的配置信息的修改都在这文件进行修改完生效需要重新启动IIS。

三:urlscan.ini说明

[Option]节,主要设置节;

[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;

[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;

[DenyHeaders]节,配置认定为非法的header在设立设置;

[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;

[DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;

具体配置

(1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:

UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;

UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;

EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;

AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;

AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;

NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;

VeriryNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;

AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;

AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;

RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;

(2)[AllowVerbs]节配置

如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:

GET、HEAD、POST

(3)[DenyVerbs]节配置

如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:

PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK

(4)[AllowExtensions]节设置

在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:

.asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip

(5)[DenyExtensions]节设置

在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:

.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。

具体设置,应当视具体应用情况而定,否则会造成应用服务无法运行。譬如禁掉shtml,某些仿新浪的文章系统就无法运行了。另安上ASP.NET 2.0,然后数据库扩展名改成MDB,就不用怕被下载了。[感谢sunny boy的建议和支持]

2009-08-27

时间: 2025-01-07 10:56:30

网站挂马解决方案的相关文章

检测网站挂马程序(Python)

系统管理员通常从svn/git中检索代码,部署站点后通常首先会生成该站点所有文件的MD5值,如果上线后网站页面内容被篡改(如挂马)等,可以比对之前生成MD5值快速查找去那些文件被更改,为了使系统管理员第一时间发现,可结合crontab或nagios等工具. 程序测试如下: # python check_change.py Usage: python check_change.py update /home/wwwroot python check_change.py check /home/ww

怎样进行网站被挂马检测?工具有哪些呢?

使用搜索引擎搜索"网站挂马检测"我们可以看到有许多的网站挂马检测工具及网站被挂马检测工具平台.我们来看看常用的网站被挂马检测工具及在线网站被挂马检测工具平台都有那些? 360网站安全检测平台(http://webscan.360.cn): 可以免费在线检测网站.网页木马.网站后门程序.网站漏洞等.网站在线被挂马检测,不需要网站验证,但如果想看到网站安全详情,就需要网站验证. 百度云观测(http://ce.baidu.com): 可以检测网站运行状况.网站安全性.网站访问速度.网站SE

如何防止网站被侵入,如何防止网站被挂马,如何防止网站被入侵?

一:挂马预防措施: 1.建议用户通过ftp来上传.维护网页,尽量不安装asp的上传程序. 2.对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序.这其中包括各种新闻发布.商城及论坛程 序,只要可以上传文件的asp都要进行身份认证! 3.asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换. 4.到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性. 5.要尽量保持程序是最新版本. 6.不要在网页上加注后台管

公司网站被挂马的解决办法

**网站被挂马青岛峰会期间本来想给自己放几天假的,因为公司的网站被挂马给泡汤了,打开公司网站首页,使用浏览器的源代码功能,发现自己网站的首页多了很多×××代码,于是我连接FTP查看网站首页的代码中发现了这个挂马代码,下面我把代码贴出来 : 公司网站被挂马的×××代码解释一下:这个代码是 PHP的代码是一种条件性的挂马,上面的google soso sogou baidu 都是挂马的条件,意思就是当从 google soso...等等搜索引擎来的访问客户会自动在网页上隐藏一行代码也就是挂马代码.

dede网站被挂马怎么办 很多非法网站

任何网站都可以被攻击和挂木马, 只要你的网站上在互联网上展现就可能被挂木马文件. 当我们的网站充斥着大量木马的时候怎么处理? 我的常规方法是小范围木马文件直接手工清理, 被篡改页面较多的, 下载官方织梦管理系统程序, 重新整合程序!(整合之前备份好被挂马的网站的整站数据, 源码和数据库) 首先备份数据库.模板文件.图片等附件文件,如果有二次开发,还需要备份二次开发的文件. 最好的方法是备份数据库和全部文件到本地,然后在本地重新安装官方版本的织梦,把备份的数据库.模板文件.图片等附件文件.二次开发

如何防止博客,网站被挂马

经营网站不容易,网站被挂马或者被挂暗链说明网站的管理权限已落入他人之手,而且网站被挂马往往来给网站带来不可估量的负面影响,最常见的就是网站用户体验变形.网站被无故植入莫名其妙的js代码,网站被降权甚至是被K,而对于网站被马之后,很多站长都不能及时的发现并处理,导致网站出现状况后才有所感概.那么站长应该如何去防范这个网站最大的杀手呢?站长如何去检查自己的网站是否被挂马了呢?下面笔者以亲身经历来谈谈如何检查网站是否被挂马的几个方法,希望对大家有所帮助. 方法: 1.对于站长检查网站是否被挂马,其中最

网站被挂马后半天内恢复正常的秘密

这两天了解到很多朋友的网站被挂马了,搜索引擎输入网站名称或者域名,就会有安全联盟的提示:该页面可能已被非法篡改!后面还写着:风险!红色的字很显眼:这的确很让人着急啊,新辰是最清楚的,因为我的网站也被挂马了,经过了半天的奋战才解决了问题,接下来新辰为朋友们介绍一下我的解封方法. 一,进入服务器,迅速查杀木马,检查程序代码 既然安全联盟提示有风险,除了很少几率的被误判外,基本上都是被挂马了.所以,新辰认为,首先应该进行木马的查杀.不过可惜,新辰以前没有重视网站的安全性,所以服务器并没有安装杀毒软件,

wordpress网站被挂马以及防御方法

wordpress本身的安全性是非常的高的,一般不会被轻易的破解,被挂马,但是我们也不能够过度迷信wordpress的安全性,凡是连接上互联网的服务器和电脑,都存在被破解的风险性.所以我们在日常维护自己的网站时,一定要注重网站的安全性,最大限度的防止网站被挂上木马. 一般来说,破解网站的途径是获取网站后台的管理员权限,从而进行修改网站文件,放置木马,这种方式是最为常见的也是最容易防御的. 防御这种破解的方式请确保做好以下的工作:? 1. 管理员账号尽量不要使用admin这种简单的用户名,密码使用

织梦网站dedecms防止挂马的思路

DedeCms做为国内使用最为广泛使用人数最多的CMS之一,经常爆出漏洞,每个漏洞的爆出,影响都是一大片,轻则被人挂广告.弹框,重则服务器成为肉机,宝贵数据丢失.那么有什么办法可以提高DedeCms的安全性呢? 先来看看原因吧,为什么PHP程序经常出漏洞,其实是由PHP程序本身决定的.PHP可复用性低,导致程序结构错综复杂,到处是冗余代码,这样不仅利于 漏洞的产生,还影响漏洞的修得:PHP程序入门简单且普遍开源,导致很多人都可直接阅读代码,搜寻漏洞:这样便有源源不断的漏洞被发现.被修复.被发现…