服务器网站安全加固-云服务器问题

问：请帮忙清除非法信息并安全加固，谢谢！

3月2日左右也被挂过非法信息,服务器网站安全加固

答：您好，(1).已经帮您清理挂马文件以及后门shell文件

(2).根据排查,是程序上传漏洞引起,我司非专业程序开发,只是帮您清理了木马，无法帮您修复程序上的漏洞,请联系程序开发商(官方)更新补丁,修复程序漏洞,以免再次出现。
(3).在您修复程序漏洞之前,我司已经为您安装云锁，已对全站做了只读设置,只开放了upload,images等目录,取消了images,templets等目录可执行权限。
目前较大程度降低了再次被挂马的风险,但仍无法保证100%%u4E0D会再次被黑,届时如果仍需我司协助清理排查挂马,将会重新收费,非常感谢您对我司支持!

查看到对应的服务器管理员中查看到管理员存在异常来宾用户，现在已经禁用改用户，

非常感谢您长期对我司的支持!

问： 现在打开以前提示的非法信息链接是乱码，有影响吗？

答：您好，这个是没有影响的，查看到该显示是由于您对应的web.config中设置的404导致显示异常，现在已经为您调整会默认的404页面，现在显示正常，非常感谢您长期对我司的支持!

问：服务器安全加固

答：您好，

已经为您做了服务器安全加固,非常感谢您长期对我司的支持!

问：因为有个网站被挂马了，我清除了相关页面，加固服务器发现不行！

答：您好，

此问题已经联系工程师核实,

另外网站挂马一般是因为网站网站程序存在漏洞所致,根本解决方案还需联系程序提供方协助您检查修复程序漏洞,

,非常感谢您长期对我司的支持!

问：需要对整个服务器/网站安全加固，漏洞更新等，辛苦了。上午9点后有竞价投放，如果需要关闭网站或者影响网站打开的情况，请及时通知到电话同微信）或者QQ

问：哈喽，你们已经在处理了么？

问：刚才服务器上所有东西都打不开哈。现在好了，后面会不会再出现呢？这边已经停了竞价

答：您好，检查您的很多程序都是织梦的，本身程序漏洞较多，容易被攻击，已经针对该情况帮您服务器进行了安全加固以及站点安全设置，并且安装了安全软件云锁，设置了规则防护，扫描过程中服务器资源可能有使用较高的情况，属于正常现象。

另外，目前服务器的补丁已经下载了，您可以在今天晚些时候没有进行推广时，远程登录服务器进行下重启，重启后会自动安装更新补丁修复漏洞。

您本地可以安装一个云锁控制端，可以方便的进行扫描，安全管理等，这个从安全上更进一步，可以避免一些注入恶意生成文件的情况：

http://download.yunsuo.com.cn/v3/云锁客户端(安装在PC上).exe 

另外目前桌面上有护卫神的木马专杀工具，这个工具是云查杀，准确率很高，可以针对网站的文件进行比较精确的查杀，由于网站文件数量较多，您可以等待一段时间后在登录服务器查看下。

其他操作包括：

1、禁用seclogon服务，避免提权

net stop seclogon

sc config seclogon start= disabled
2.设置wpad，避免中间人攻击提权

echo.>> C:\\Windows\\System32\\drivers\\etc\\hosts

echo 127.0.0.1 wpad>> C:\\Windows\\System32\\drivers\\etc\\hosts

3.禁用wscript.shell防止asp执行exe

takeown  /f C:\\Windows\\System32\\wshom.ocx /a

takeown /f C:\\Windows\\System32\\shell32.dll  /a

takeown /f C:\\Windows\\SysWOW64\\wshom.ocx  /a

takeown /f C:\\Windows\\SysWOW64\\shell32.dll /a

cacls C:\\Windows\\System32\\wshom.ocx /R users /e

cacls C:\\Windows\\SysWOW64\\wshom.ocx /R users /e

cacls C:\\Windows\\System32\\shell32.dll  /R users /e

cacls C:\\Windows\\SysWOW64\\shell32.dll /R users /e

4.网卡属性中卸载文件共享功能

5.合理使用软件策略限制exe执行，常见目录为

d:\\www

C:\\Windows\\Temp

C:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\Temporary ASP.NET Files

C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\Temporary ASP.NET Files

C:\\Windows\\Microsoft.NET\\Framework64\\v2.0.50727\\Temporary ASP.NET Files

C:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\Temporary ASP.NET Files

另外检查到D:\\www\\taiji.hbtj120.com\\statics\\bootstrap\\index.php比较可疑，建议您联系程序员核实下是否为正常的程序代码

最后非常抱歉，刚刚在安装网卡安全 驱动的过程中有短暂的网络中断，现已恢复，以后不会再出现类似情况，谢谢。