1、 背景
1.1 Web网站的导航信息出现了一些变化,这个信息Web管理人员并不经常访问,没有引起太多注意。后来IIS管理员在日志巡检时发现这个问题,并进一步判断网络有入侵的痕迹,经过多番追踪,将目光锁定在系统服务身上。经查,系统服务总数量并没有变化,但是一个早已被禁用的服务被莫名其妙的开启,同时其指向的路径和文件名也正常服务大相径庭。不用说,IIS被入侵,黑客为了能继续操作该服务器,将系统服务做了手脚,将其指定为其所需的黑客程序。
2、 原因
2.1 通过入侵服务器,建立隐藏的服务,进和步篡改网站
3、 处理方法
3.1 对于这种故障有时我们并不能快速的察觉,因为它并没有对网络和系统造成物理或逻辑的伤害,所以我们只能通过有效的审核工作来排查系统的异常变化,
3.2 同时我们还需要经常性为当前系统服务建立一个批处理文件,一旦出现服务被篡改,我们又不能快速确定那个服务出现故障时,我们就可以快速的执行这个批处理文件,恢复到备份前的正常服务状态。