为了从根本上解决问题,我们建议所有用户升级受控端安装包到2011-3-15版,并点击设置"ASP.net严格安全模型",以下所说的问题所有设置了asp.net严格安全的用户不受影响.
对于服务器上的杀毒软件,我们建议装Mcafee,请不重装360,很多版本的360都有提权问题.
在2011-6-8星外发布了新版的星外杀马扫描工具(在群共享或星外后台可以下载)
在扫描结果中我们发现在大量服务器存在以下问题.
文件:C:/WINDOWS/TAPI/tsec.ini
处理办法:直接完全删除这个文件(不要保留在回收站)
360的
文件:C:/Program Files/360/360sd/Section/mutex.db
文件:C:/Program Files/360/360Safe/deepscan/Section/mutex.db
文件:C:/Program Files/360/360Safe/AntiSection/mutex.db
处理办法:直接完全删除360,所有360删除光后留下的文件都要删除
Flash:
文件:C:/WINDOWS/system32/Macromed/Flash/Flash10q.ocx
处理办法:直接完全删除(不要保留在回收站),不要在服务器上装Flash组件
IISrewrite3
文件:C:/Program Files/Helicon/ISAPI_Rewrite3/Rewrite.log
文件:C:/Program Files/Helicon/ISAPI_Rewrite3/httpd.conf
文件:C:/Program Files/Helicon/ISAPI_Rewrite3/error.log
处理办法:将三个文件的权限改成erveryone只读权限(没有写的权限)
DU Meter的流量统计信息日志文件
c:/Documents and Settings/All Users/Application Data/Hagel Technologies/DU Meter/log.csv
处理办法:删除它
诺顿
c:/Program Files/Common Files/Symantec Shared/Persist.bak
c:/Program Files/Common Files/Symantec Shared/Validate.dat
c:/Program Files/Common Files/Symantec Shared/Persist.Dat
处理办法:直接完全删除这个软件
华盾
文件:C:/WINDOWS/hchiblis.ibl
处理办法:直接完全删除这个过滤软件,如果因为别的原因不能删除,可以将权限改成everyone读与写,不能有everyone运行的权限.
一流过滤:
文件:C:/7i24.com/iissafe/log/startandiischeck.txt
文件:C:/7i24.com/iissafe/log/scanlog.htm
文件:C:/7i24.com/iissafe/log/perf.csv
如果已经是最新版本的一流(2011-2-19)就不需要处理,如果是旧版本的,要先删除这三个文件,然后再升级一流.正常情况下,这三个文件只有everyone读写的权限(没有运行,也没有users用户的权限)
其他有可能提示的文件:
文件:C:/WINDOWS/Temp/Temporary Internet Files/Content.IE5/index.dat
文件:C:/WINDOWS/Temp/History/History.IE5/index.dat
文件:C:/WINDOWS/Temp/Cookies/index.dat
检查文件在高级权限管理中,是不是有everyone运行的权限,如果没有,就不用处理,如果有运行的权限要取消运行权限
文件:C:/7i24.com/LinkGate/log/....
目录:C:/7i24.com/LinkGate/log
目录:C:/7i24.com/serverdoctor/log/
文件:C:/7i24.com/serverdoctor/log/....
不需要处理,星外的防盗链,服务器医生等软件默认已自动设置好权限
如果看下这样的提示:
2011-6-8 15:04:50,方法失败,意外错误代码为 32。
这是扫描软盘A:造成的,不用处理
部分zend版本可能有这个提示:
文件:C:/Program Files/Zend/ZendOptimizer-3.3.0/lib/Optimizer-3.3.0/php-5.2.x/ZendOptimizer.dll
目录:C:/Program Files/Zend/ZendOptimizer-3.3.0/lib/Optimizer-3.3.0/php-5.2.x......
处理办法:将everyone的权限删除,改成adms,system全部权限,users只读权限.
如果你启用了ASP压缩(GZIP等)
文件:C:/WINDOWS/system32/inetsrv/ASP Compiled Templates/PID5828.TMP/ASPFD.tmp等类似的文件
处理办法:检查这些文件在高级管理中有没有everyone运行的权限,如果没有,就不需要处理.(正常是没有的)
除了上面列出的文件外,如果您的服务器还提示有别的文件有权限问题,处理的原则是:
1.能不安装的软件就不要安装.
2.如果这个文件必须保留,我们要求所有提示有权限问题的文件,都不能有everyone或users用户运行的权限.
处理后,请再用星外杀马扫描一次.
以下是旧的说明:
2011-3-9
经查我们发现部分服务器仍然存在安全问题,因此发布了新的扫描工具及安全包,请所有用户马上扫描并用安全包处理.
注意
2011-2-19 22:00 有用户反映安装了一流监控后,部分服务器的c:/7i24.com/iissafe/log/sys的权限不正常,经检查,正常的权限是只有erveryone权限,不应该有users权限组的任何权限的,如果你的服务器上有这个目录,并且这个目录多了users的权限,请马上下载最新版本的安全包,点"纠正出错的一流权限"就可以解决.如果用最新版本星外杀马提示"这是一流监控的目录权限问题未修正!请马上联系星外支持解决!!!"表明你尚未用最新的安全包处理,请用安全包处理后,再扫描一次。
关于c:/7i24.com/iissafe/log及/log/sys目录,正常的权限情况下,复制cmd.exe进去,双击是无法运行的,大家可以测试下,如果能运行肯定就是错的.
近期有用户的报告发映服务器被入侵,经查是回收站目录的权限有错造成的.
(最新发现一键GHOST产生的默认备份目录如~1也会有安全问题)
注意
请您在设置完安全包后,使用星外杀马工具最新版本点击扫描所有盘的所有目录功能,检查有没有权限问题,下载地址参考(更新于2011-3-9 !!!):
http://sys.7i24.com/system/support/show.asp?id=20101231000556
对于软件扫出来有权限问题的目录,除了C:/7i24.com目录外,别的目录,都要改成adms,system全部权限,别的,如everyone的权限都应该删除.users的权限也不能有写入的权限,另外,如果提示"这是一流监控的目录权限问题未修正!请马上联系星外支持解决!!!"表明你尚未用最新的安全包处理,请用安全包处理后,再扫描一次.
另外,所有安装诺顿10的用户,请马上升级成诺顿11,不然以下目录一升级诺顿就有权限问题:
C:/Program Files/Symantec AntiVirus/SAVRT
C:/Documents and Settings/All Users/Application Data/Symantec/Symantec AntiVirus Corporate Edition/7.5/I2_LDVP.TMP
这个目录会造成入侵.
以前的旧的说明:
请下载最新版的安全包(2011-1-13),点击"设置回收站目录权限"及"设置Users关键目录权限"功能,就可以解决以下问题:
回收站目录的权限存在users组成写入与运行权限造成的提权:
如:
C:/RECYCLER
D:/RECYCLER
....
等目录,这些目录默认是隐藏的,您要看到这些目录需要显示系统文件才能看到.
如果这些目录中有你不认识的vbs,exe等文件就很可能是入侵后的后门.
注意,使用最新安全包后,可能会提示回收站被破坏,不用担心,这个提示不影响使用,也不用处理.安全包只能限制了USERs用户的调用回收站造成不安全.正常情况下,回收站只应该有adms,sytem全部的权限.
另外,我们还检查了所有可能有权限问题的目录,请点击设置"设置Users关键目录权限"功能,就可以解决,此功能对windows 2003/windows 2008R2同样有用,请您务必操作!
以下是近期的安全提示:
请下载最新版的安全包,点击"设置Media等目录权限"功能,就可以解决以下问题:
(其他的功能不用点,最新版的安全包可以用主控用户名登陆星外网站,在软件下载,老用户升级中下载)
如果以下目录中存在任何文件,可能是入侵造成的,在设置安全包后,里面的文件应该手工删除(PHP目录中默认的文件除外):
如以下目录:
C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index/
C:/php/dev,C:/php/ext,C:/PHP/extras,C:/PHP/PEAR
C:/wmpub
C:/upload
C:/inetpub
以下是问题的完整说明:
有用户说以下目录
C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index/
有users,或everyone写入的权限,大家查下有没有这个问题
无论是否存在这样的问题,请运行以下命令,可以直接处理权限,从而防止入侵:
先在开始中,输入CMD运行后,再输入:
ECHO Y|cacls "C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index" /P SYSTEM:F
另外,以下是近期的安全问题,也请检查
关于C:/php下的子目录权限不正常造成服务器被入侵的处理办法
在2010-11-23我们接到两个用户反映有服务器C:/php/dev,C:/php/ext,C:/PHP/extras,C:/PHP/PEAR
中发现了被上传cmd.exe文件,经检查,我们发现这些目录的权限多了users用户组写入权限,经我们检测,默认情况下安装星外的PHP包并没发生这样的问题,有可能是安装其他软件影响了,
在不确定原因的情况下,我们发布了新版本的PHP安装包(更新于2010-11-23),您可以登陆星外客服中心下载此PHP安装包来解决这个问题.
处理办法
1.停止IIS
2.在添加删除中删除原来的星外PHP安装包
3.删除c:/php目录所有文件
4.安装最新版本的PHP安装包,这个安装包会强行将原来错的users权限改正.
更新PHP安装包并不会影响用户的网站,不用担心.
补充
(
如何确定我的服务器也有这个问题?
您可以检查C:/PHP/extras的权限,权限里面有一个高级,如果里面有users组的特殊权限,里面有写入权限就是不正确的.
另外,我们发现部分服务器的C:/wmpub目录的权限也存在同样的问题.
)
服务器杀马软件 http://sys.7i24.com/soft/freehostkillexe.rar
机房名称 | 机房介绍 | 是否推荐 |
---|---|---|
广州较场西路机房 | 中国电信5星级机房,华南骨干出口,广州市中心机房,交通便利,总带宽200G,为华南骨干出口。 | |
广州人民中路机房 | 中国电信3星级机房,超高速的20Gx2主备双线路带宽直接接入ChinaNET骨干层。 | |
广州天河科技园机房 | 天河软件园建中路4号,中国互联网应急中心机房,国家政府机关直属。多线接入骨干BGP线路。 | |
电子商务部广州机房 | 天河软件建业路上(科韵路)的国际电子商务中心大厦甲级写字楼内,机房环境一流。多线接入骨干BGP线路。 | |
广州电信加速器机房 | 位于广州市萝岗区开源大道1号企业加速器B1栋一楼,按照国际T3+及国标B+级标准建造,机房环境一流。多线接入骨干网。 | |
广州移动旗锐机房 | 广州科学城南翔二路1号旗锐数字科技园区内,属于第三方私立机房,现由移动运营,从粤西汇聚节点直连CMNET骨干网。 | |
广州移动南方基地机房 | 中国移动广州南方基地机房位于广州市天河软件园高塘大道333号,用于移动骨干网线路,是移动服务器托管优质机房。 | |
东莞电信道滘机房 | 中国电信4星级机房,总带宽320G,可提供电信和多线BGP线路,华南骨干机房,稳定高速,性价比高。 | |
东莞电信东城机房 | 中国电信4星级机房,总带宽320G,性价比高,可提供电信和多线BGP线路和200G集群硬件防火墙VIP防护。 | |
东莞电信樟木头机房 | 中国电信4星级机房,总带宽320G,可提供电信和多线BGP线路和100G集群硬件防火墙企业级防护。 | |
深圳互联港湾机房 | 深圳南山高新区中区软件大厦四楼,电信3星级机房,20G带宽接入骨干网络。 | |
深圳南山科兴机房 | 位于深圳市南山区科技园科苑路15号科兴科学园,3星级机房,可提供双线接入等业务。 | |
深圳百旺信机房 | 深圳市南山区西丽松白公路百旺信工业区A区(一区)一栋属于第三方机房,可提供双线接入等业务。 | |
佛山电信信息大厦机房 | 佛山市汾江南路35号电信佛山分公司信息大厦8-9层,是中国电信3星级机房,可提供双线接入等业务。 | |
中山电信火炬机房 | 机房位于中山市火炬区康乐大道47号电信3楼,是中国电信3星级机房,可提供双线接入等业务。 | |
江苏徐州电信机房 | 机房位于江苏徐州市新城区镜泊东路4号,徐州市档案馆东侧,是中国电信3星级机房,可提供双线接入等业务。 | |
江苏常州电信机房 | 机房位于江苏省常州市清凉路108号常州信息港,是中国电信4星级机房,可提供双线接入等业务。 | |
香港TKO机房 | 机房靠近香港交易所的数据中心位置和香港商业中心,拥有PCCW、GTT、Cogent、Telia、TATA、CT、CN2、CU线路。 | |
香港将军澳机房 | 机房在香港新界將軍澳工業邨駿昌街22號,与阿里云香港机房同属一栋楼,拥有多种线路接入。 | |
香港新世界机房 | 香港新世界机房的海底电缆系统遍布全球,能直接连接多个国家,免备案,服务器租用、云服务器等业务。 | |
香港NTT机房 | 香港NTT电讯机房,是一座专用数据中心,在香港大埔,免备案,提供服务器租用、VPS云服务器等业务。 | |
美国洛杉矶机房 | 位于美国洛杉矶,直连全球,是全球带宽最集中的地方,是外贸企业首选,该机房只提供服务器租用业务。 | |
美国加州DCS机房 | 位于美国加州,直连全球,是美国的华人机房,是外贸企业首选,该机房只提供服务器租用业务。 | |
美国圣何塞机房 | 位于美国圣何塞,紧邻科技中心-硅谷,直连全球,是外贸企业首选,该机房只提供服务器租用业务。 | |
韩国首尔KT机房 | 韩国首尔的江南区道谷洞数据中心,光纤直连电信(CN2)、移动、PCCW、NTT等网络核心骨干。 | |
台湾中华电信机房 | 台湾中华电信机房位于台湾台北市114内湖区瑞光路68号3楼,是台湾对外最重要的电信枢纽之一。 | |
菲律宾PLDT机房 | 菲律宾PLDT机房拥有PCCW、TATA、CT、CN2等线路接入,优化线路到中国大陆速度快,延迟低,网络稳定。 |
¥99元/年起 网站空间 原价:199元
¥488/月起 物理机 原价:699元
¥580起 企业建站 原价:1999元起
迅恒专注于企业建站,海量精美网站风格模板供您选择!
网络营销推广的第一步就是做一个属于自己的网站
做网站,为什么要选迅恒建站?
专业的设计团队、技术团队,为客户提供专业的技术服务支持
客户查验合格,提供源码交付/FTP信息。网站商业授权,避免产权纠纷
网站能够在CP+平板+手机+小程序 完美响应展示。
所有收费项公开透明,正规签订合同,合同清楚明确
提供网站个性化定制设计,拒绝千篇一律
我司与华为云/腾讯云长期合作,采用安全稳定服务器,保障网站安全稳定运行