• 欢迎关注我的微信公众号“ Falost ” 右边扫描关注 --->>

记一次客户网站被端口泛解析(泛端口)的问题处理

安全圈 神棍 8238℃ 0评论

之前遇到过好多这种问题站,但是没有服务器权限,导致没有详细的分析案例,去深入研究。

今天,再次遇到了这种问题客户的站点,哦了,有详细案例来研究了。

泛端口

一种新兴的网站SEO优化技术,

百度文库原理地址

这里我们可以看到百度上面的是域名+端口,看到这里相信很多站长心里都凉了,服务器被黑客提权了。那么我们怎么办呢?
首先,我们需要看看是否还有日志,如果是屌丝黑客的话可能会忘记删除你的系统日志,那么我们可以通过日志来分析下他的入侵路径,先修复网站的漏洞。
然后,就是删除服务器上面的后门,我们检测了2个客户的服务器都是利用了影子账户,删除影子账户怎么做呢?
首先检测Guest(如果没有新建账户的情况下),如果你发现这个账户有问题的话,那就使用命令删除。
影子账户相当于一个administrator账户,密码与administrator相同,当administrator密码变时,影子账户密码不变,而当影子账户密码改变时administrator账户密码跟着改变,常规方法看不到影子账户,只能在注册表中。打开注册表,定位到HKEY_LOCAL_MACHNESAMSAMDomainsAccountuserNamesAdministrator
查看默认值。只要跟上边值相同就为影子账户,有时影子账户不一定是Administrator的,也可能是普通账户的,删除即可。
影子账户删除之后,我们就开始端口转发了。
新建一个站点,当然你可以直接转发到404页面。
因为客户的站点都是十几分钟就被百度收录,所以我们就直接将收集到的端口从5000-50000转发到新建站点(这个站点就是一个404页面),然后通过XML提交百度删除,搞定~~
其中使用的命令:
查看账户(直接在注册表查看用户)相关资料:http://lucky2012.blog.51cto.com/371396/149110/
关于删除转发端口:for /L %%i in (5000,1,65535) do c:windowssystem32netsh.exe interface portproxy delete v4tov4 listenport=%%i


这些我们都需要基于一个前提条件,那就是我们的网站足够的安全,漏洞一旦发现及时更新或修复。

来自众盾安全网:http://bbs.zdsec.cn/thread-28-1-1.html

转载请注明:Falost的小窝 » 记一次客户网站被端口泛解析(泛端口)的问题处理

如果你觉得这篇文章不错或者对你有帮助,想请我喝一杯咖啡,可以打赏
喜欢 (64)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 年前再来转转!
    9785822016-02-03 10:49