7 × 24小时服务热线:400-000-0000
服务器安全防护措施,木马查杀和重要升级!大家请注意! |
回收站目录的权限存在users组成写入与运行权限造成的提权: 如: C:\RECYCLER D:\RECYCLER .... 等目录,这些目录默认是隐藏的,您要看到这些目录需要显示系统文件才能看到. 如果这些目录中有你不认识的vbs,exe等文件就很可能是入侵后的后门. 注意,使用最新安全包后,可能会提示回收站被破坏,不用担心,这个提示不影响使用,也不用处理.安全包只能限制了USERs用户的调用回收站造成不安全.正常情况下,回收站只应该有adms,sytem全部的权限. 另外,我们还检查了所有可能有权限问题的目录,请点击设置"设置Media关键目录权限"功能,就可以解决,此功能对windows 2003/windows 2008R2同样有用,请您务必操作! 注意 请您在设置完安全包后,使用星外杀马工具最新版本点击扫描C盘的所有目录功能,检查有没有权限问题,下载地址参考(更新于2011-1-13): http://sys.7i24.com/system/support/show.asp?id=20101231000556 以下是近期的安全提示: 请下载最新版的安全包,点击"设置Media等目录权限"功能,就可以解决以下问题: (其他的功能不用点,最新版的安全包可以用主控用户名登陆星外网站,在软件下载,老用户升级中下载) 如果以下目录中存在任何文件,可能是入侵造成的,在设置安全包后,里面的文件应该手工删除(PHP目录中默认的文件除外): 如以下目录: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR C:\wmpub C:\upload C:\inetpub 以下是问题的完整说明: 有用户说以下目录 C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ 有users,或everyone写入的权限,大家查下有没有这个问题 无论是否存在这样的问题,请运行以下命令,可以直接处理权限,从而防止入侵: 先在开始中,输入CMD运行后,再输入: ECHO Y|cacls "C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index" /P SYSTEM:F 另外,以下是近期的安全问题,也请检查 关于C:\php下的子目录权限不正常造成服务器被入侵的处理办法 在2010-11-23我们接到两个用户反映有服务器C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR 中发现了被上传cmd.exe文件,经检查,我们发现这些目录的权限多了users用户组写入权限,经我们检测,默认情况下安装星外的PHP包并没发生这样的问题,有可能是安装其他软件影响了, 在不确定原因的情况下,我们发布了新版本的PHP安装包(更新于2010-11-23),您可以登陆星外客服中心下载此PHP安装包来解决这个问题. 处理办法 1.停止IIS 2.在添加删除中删除原来的星外PHP安装包 3.删除c:\php目录所有文件 4.安装最新版本的PHP安装包,这个安装包会强行将原来错的users权限改正. 更新PHP安装包并不会影响用户的网站,不用担心. 补充 ( 如何确定我的服务器也有这个问题? 您可以检查C:\PHP\extras的权限,权限里面有一个高级,如果里面有users组的特殊权限,里面有写入权限就是不正确的. 另外,我们发现部分服务器的C:\wmpub目录的权限也存在同样的问题. |