服务器中的蠕虫病毒怎么样查杀?

建议你再安装下载一个“超级巡警”，两者结合使用，保证你万无一失。

超级巡警介绍：

专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具，提供系统 /IE修复、隐私保护和安全优化功能，提供了全面的系统监测功能，使你对系统的变化了如指掌，配合手动分析可近100%的查杀未知恶意代码！

主要特色：

1)、通用的自动化Rootkit解决方案，不使用传统特征码，即可检测各种利用Rootkit技术隐藏的木马、后门。

2)、全面检测隐藏进程、隐藏服务、隐藏端口。

3)、自动检测和修复Winsock SPI链的相关错误。

4)、系统内核服务描述表恢复，显示和摘除被Hook的内核函数，自动还原被Inline hook的内核函数。

5)、独创的快速匹配算法，在最小的系统资源占用级别上进行最快的扫描检测。

6)、扫描模块和实时监控共用引擎和库在内存中的同一份拷贝，大大降低系统资源占用，模块间高效协同工作。

7)、内存扫描和静态分析预警系统有机结合。

8)、立足于病毒家族的广谱特征，强力提高病毒检测率。

9)、前瞻性的主动防御监测体系，全面检测未知木马。

10)、国内首个支持NTFS数据流扫描，使检测更彻底。

11)、纯绿色软件，解压即可使用。

主要功能：

启发预警，启动管理，IE插件管理，SPI链自动检测与修复，Rootkit检测，服务管理，隐藏服务检测，过滤微软默认服务，服务增加和删除， SSDT(服务描述表)恢复，进程管理，隐藏进程检测，DLL模块强制卸载，检测隐藏端口，断开连接，定位远程IP，WHOIS查询，关闭端口，IE修复，流氓插件免疫，恶意网站屏蔽，系统垃圾清理，智能扫描，文件粉碎机，软件卸载，系统优化，系统修复，漏洞检查和修复，启发扫描，NTFS数据流扫描，签名分析，全面扫描，内存扫描，目录扫描，信任列表，实时监控，智能升级。

v 250 更新：

1、增加设置扫描的时候不提示压缩包密码的选项，方便在无人值守进行全盘扫描使用。

2、当AST运行且最小化时，如果用户运行新的AST实例，则将自身的运行拷贝弹出切换到前台。

3、由原来的启动后检查消息更新，改为定时检查更新。

4、软件卸载里的软件信息，默认不显示微软的补丁

5、软件卸载增加查找功能，可以模糊查找软件名称。

6、解决引擎在扫描特殊压缩包崩溃的问题，请存在此类问题朋友全面扫描看是否还崩溃。

7、敏感区增加的文件会进行病毒检查。

8、设置中增加手动退出的时候是否提示的选项。

9、软件卸载增加删除残余信息的功能，直接删除已经不存在软件的安装信息。

10、解决对敏感目录监控在个别情况下有漏报的问题。

11、增加安全模块模块，分系统优化，系统修复，和补丁/漏洞检查功能。利用内部的优化修复引擎，今后将方便扩展对系统优化/修复的能力。

12、增加快速扫描按钮，对病毒最常驻留的地方进行检查。

下载安装地址：http://wwwskycncom/soft/29107html

可免费安装使用。

在使用时请把“超级巡警”添加到杀毒软件的信任区域

一、修改windows默认的远程端口

　　也许有高手认为自己做的挺安全的，就算是默认端口也不用被入侵以及被破密。其实修改默认的远程端口一方面是防止入侵，另外一方面也是防止被扫描影响系统的稳定。

　　有了解过扫描3389软件的人都知道，一般的攻击者都是扫描3389端口的，所以改成其它的端口可以防止被扫描到您的主机。为什么说另外一方面也是防止被扫描3389端口影响到系统的稳定呢？如果您的服务器默认是使用3389端口，扫描软件就会强力尝试密码字典里的密码，与您的主机建议很多的连接，占用系统里的资源导致服务器出现卡的现象。所以修改默认的远程端口是有几个好处的，希望大家重视。

二、修改windows默认的用户名

　　我们做安全也是针对攻击的行为而制作相对的策略，攻击的人尝试密码破解的时候，都是使用默认的用户名administrator，当你修改了用户名之后，它猜不出您的用户名，即使密码尝试上千万次都不会成功的，如果要使用用户名字典再加下密码字典，我估计攻击者就没有那个心思了，而且也不会一时间破密到您的用户名。所以修改用户名就会减低被入侵的可能。

　　那么修改成什么样的用户名才是比较安全呢？个人建议使用中文再加上数字再上字母这样的用户名就非常强大了。例如： 非诚勿扰ADsp0973

三、使用复杂的密码

　　从扫描以及破解的软件看，都是使用简单的常用的密码进行破解的，例如1q2w3e4r5t或者123456或者12345qwert等简单的组合密码，所以使用这些密码是非常不安全的。我个人就建议避免使用简单的密码防止被破解。

　　建议使用的密码里包含 大字字母+小字字母+数字+特殊字符。 长度至少要12以上这样会好一些。

四、注意以上三点是必然的安全策略，建议还要不定时修改一下用户名与密码，远程端口，扫描病毒这些操作。

　　维护系统的安全以及业务的稳定运行，这些步骤必不可少，请各位服务器管理员重视，安全不怕做多，就怕做少。这些都是常用的操作维护系统的安全，当然也有其它方面的安全性需要巩固的，做到上面的几点都已经够了，如果系统里的哪些端口以及服务是比较危险的，这个也需要从那个方面去加固一下。

总结：以上是我平常使用的最基本方法，也是最简单的了，希望可以带给大家帮助，谢谢。如何修改远程端口、用户名与密码？这些也是很简单操作就可以的了。如果实在不懂，可以联系下我，谢谢。

首先我们要认识一下什么是后门程序　在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!!——很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山!　　正因如此所以后门技术与反后门的检测技术也成为了黑客功防战的焦点。正所谓知己知彼，百战不殆。要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。　　后门的分类　　后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：　　前面讲了这么多理论知识是不是觉得有点头大了呢下面我们来讲讲一些常见的后门工具吧　　1网页后门　　此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，比如ASP、PHP、cgi脚本后门等。　　典型后门程序：海洋顶端，红粉佳人个人版，后来衍生出来很多版本的这类网页后门，编写语言asp,aspx,jsp,php的都有种类比较繁多。　　2线程插入后门　　利用系统自身的某个服务或者线程，将后门程序插入到其中，这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。　　典型后门程序：代表BITS，还有我在安全焦点上看到的xdoor(首款进程插入后门)也属于进程插入类后门。　　3扩展后门　　所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。　　典型后门程序：Wineggdroup shell　　4C/S后门　　这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光　　典型后门程序：ICMP Door　　5root kit　　好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。　　典型后门程序：hacker defender　　以上是我在网上搜集的前人总结，值得指出的是这些分类还不够完善，还没有真正指出后门的强大。　　下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术。6 BootRoot　　通过在Windows内核启动过程中额外插入第三方代码的技术项目，即为“BootRoot”。国外组织eBye在通过这种新的Rootkit启动技术，并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”，即“Boot Rootkit”。　　Mebroot是如何实现MBR感染与运作的　　Mebroot比Windows还要早一步启动，然后将自身驱动代码插入内核执行，从而绕过了注册表HIVE检测的缺陷。同时采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。检测工具自然会检测失效。然后通过DLL远程注入用户进程，为系统打开后门并下载木马运行。在这非传统的渗透思路下，反Rootkit工具是无法根除它的。　　看到以上这么多可怕的后门知识是不是对这些有所了解了呢　　下面我们来谈谈如何检测后门　　1简单手工检测法　　凡是后门必然需要隐蔽的藏身之所，要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处，如自启动项，据不完全统计，自启动项目有近80多种。　　用AutoRuns检查系统启动项。观察可疑启动服务，可疑启动程序路径，如一些常见系统路径一般在system32下，如果执行路径种在非系统的system32目录下发现　　notepad　　System　　smssexe　　csrssexe　　winlogonexe　　servicesexe　　lsassexe　　spoolsvexe　　这类进程出现2个那你的电脑很可能已经中毒了。　　如果是网页后门程序一般是检查最近被修改过的文件，当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。　　2拥有反向连接的后门检测　　这类后门一般会监听某个指定断口，要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口，看是否有本地ip连接外网ip。　　3无连接的系统后门　　如shift，放大镜，屏保后门，这类后门一般都是修改了系统文件，所以检测这类后门的方法就是对照他们的MD5值 如sethcexe(shift后门)正常用加密工具检测的数值是　　MD5 : f09365c4d87098a209bd10d92e7a2bed　　如果数值不等于这个就说明被篡改过了。　　4CA后门　　CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户，用户组管理也不显示该用户，手工检查一般是在sam里删除该帐号键值。当然要小心，没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户，所以建议服务器最好把guest设置一个复杂密码。　　5对于ICMP这种后门　　这种后门比较罕见，如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。　　6对于rootkit　　这类后门隐藏比较深，从一篇安全焦点的文献我们可以了解到他的历史也非常长，1989年发现首例在Unix上可以过滤自己进程被ps -aux 命令的查看的rootkit雏形。此后这类高级隐藏工具不断发展完整，并在94年成功运用到了高级后门上并开始流行，一直保持着后门的领先地位，包括最新出现的Boot Root也是该后门的一个高级变种。为了抵御这类高级后门国外也相续出现了这类查杀工具。例如：荷兰的反Root Kit的工具Gmer,Rootkit Unhooker和RKU都可以检测并清除这些包括变种的RootKit

清马

1、找挂马的标签，比如有<script language="javasc粻紶纲咳蕺纠告穴梗膜ript" src="网马地址"></script>或<iframe width=420 height=330 frameborder=0

scrolling=auto src=网马地址></iframe>，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是JS挂马。

2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。

在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。

修补漏洞（修补网站漏洞也就是做一下网站安全。）

1、修改网站后台的用户名和密码及后台的默认路径。

2、更改数据库名,如果是ACCESS数据库，那文件的扩展名最好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。

3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。

4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。

5、尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。

6、写入一些防挂马代码，让框架代码等挂马无效。

7、禁用FSO权限也是一种比较绝的方法。

8、修改网站部分文件夹的读写权限。

9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！

但绝对不能容忍的是，服务器被植入后门，攻击者如入无人之境，而管理者去浑然不觉。本文将对当前比较流行的后门技术进行解析，知己知彼方能杜绝后门。

1、放大镜后门 放大镜(magnifyexe)是Windows 2000/XP/2003系统集成的一个小工具，它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+U”组合键调用该工具，因此攻击者就用精心构造的magnifyexe同名文件替换放大镜程序，从而达到控制服务器的目的。 通常情况下，攻击者通过构造的magnifyexe程序创建一个管理员用户，然后登录系统。当然有的时候他们也会通过其直接调用命令提示符(cmdexe)或者系统shell(explorerexe)。需要说明的是，这样调用的程序都是system权限，即系统最高权限。不过，以防万一当管理员在运行放大镜程序时发现破绽，攻击者一般通过该构造程序完成所需的操作后，最后会运行真正的放大镜程序，以蒙骗管理员。其利用的方法是： (1)构造批处理脚本 @echo off

net user gslw$ test168 /add

net localgroup administrators gslw$ /add

%Windir%system32 agnifyexe

exit 将上面的脚本保存为magnifybat，其作用是创建一个密码为test168的管理员用户gslw$，最后运行改名后的放大镜程序nagnifyexe。(图1)

(2)文件格式转换 因为批处理文件magnifybat的后缀是bat，必须要将其转换为同名的exe文件才可以通过组合键Win+U调用。攻击者一般可以利用WinRar构造一个自动解压的exe压缩文件，当然也可以利用bat2com、com2exe进行文件格式的转换。我们就以后面的方法为例进行演示。 打开命令行，进入bat2com、com2exe工具所在的目录，然后运行命令“bat2com magnifybat”将magnifybat转换成magnifycom，继续运行命令“com2exe magnifycom”将magnifycom转换成magnifyexe，这样就把批处理文件转换成和放大镜程序同名的程序文件。(图2)(3)放大镜文件替换 下面就需要用构造的magnifyexe替换同名的放大镜程序文件，由于Windows对系统文件的自我保护，因此不能直接替换，不过Windows提供了一个命令replaceexe，通过它我们可以替换系统文件。另外，由于系统文件在%Windir%system32dllcache中有备份，为了防止文件替换后又重新还原，所有我们首先要替换该目录下的magnifyexe文件。假设构造的magnifyexe文件在%Windir%目录下，我们可以通过一个批处理即可实现文件的替换。 @echo off

copy %Windir%system32dllcachemagnifyexe nagnifyexe

copy %Windir%system32magnifyexe nagnifyexe

replaceexe %Windir%magnifyexe %Windir%system32dllcache

replaceexe %Windir%magnifyexe %Windir%system32

exit 上面批处理的功能是，首先将放大镜程序备份为nagnifyexe，然后用同名的构造程序将其替换。(图3)

(4)攻击利用 当完成上述操作后，一个放大镜后门就做成了。然后攻击者通过远程桌面连接服务器，在登录界面窗口摁下本地键盘的“Win+U”组合键，选择运行其中的“放大镜”，此刻就在服务器上创建了一个管理员用户gslw$并打开了放大镜工具，然后攻击者就开业通过该帐户登录服务器。当然，攻击者在断开登录前会删除所有与该帐户相关的信息，以防被管理员发现。(图4) (5)防范措施 进入%Windir%system32查看magnifyexe的文件图标是否是原来的放大镜的图标，如果不是的话极有可能被植入了放大镜后门。当然，有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时我们可以查看magnifyexe文件的大小和修改时间，如果这两样有一项不符就比较怀疑了。我们也可以先运行magnifyexe，然后运行lusrmgrmsc查看是否有可疑的用户。如果确定服务器被放置了放大镜后门，首先要删除该文件，然后恢复正常的放大镜程序。当然，我们也可以做得更彻底一些，用一个无关紧要的程序替换放大镜程序。甚至我们也可以以其人之道还治其人之身，构造一个magnifyexe，通过其警告攻击者或者进行入侵监控和取证。 补充：与放大镜后门类似的还有“粘滞键”后门，即按下SHIEF键五次可以启动粘滞键功能，其利用和防范措施与放大镜后门类似，只是将magnifyexe换成了sethcexe。 2、组策略后门 相对来说，组策略后门更加隐蔽。往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩，也为大家所熟知。其实，在最策略中也可以实现该功能，不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项来说实现。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性，因此常常被攻击者利用来做服务器后门。 攻击者获得了服务器的控制权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本，最简单的比如创建一个管理员用户，他可以这样做： (1)创建脚本 创建一个批处理文件addbat，addbat的内容是：@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit (创建一个用户名为gslw$密码为test168的管理员用户)。 (2)后门利用 在“运行”对话框中输入gpeditmsc，定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”，在其中添加addbat。就是说当系统关机时创建gslw$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户，就是他看见并且删除了该帐户，当系统关机时又会创建该帐户。所以说，如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。 其实，对于组策略中的这个“后门”还有很多利用法，攻击者通过它来运行脚本或者程序，嗅探管理员密码等等。当他们获取了管理员的密码后，就不用在系统中创建帐户了，直接利用管理员帐户远程登录系统。因此它也是“双刃剑”，希望大家重视这个地方。当你为服务器被攻击而莫名其妙时，说不定攻击者就是通过它实现的。(图5)(3)后门防范 组策略后门是攻击者利用了管理员的疏忽心理，因为对于组策略中的“(启动/关机)脚本”项往往被大家忽略，有些管理员甚至不知道组策略中的这个选项。防范这类服务器后门，也非常简单，只需打开组策略工具，定位到“脚本(启动/关机)”项下进行查看。当然也可以进入 system32GroupPolicyMachineScriptsStartup和system32GroupPolicyMachineScriptsShutdown目录检查是否有可疑的脚本。

网站安全主要指的是防止企业网站在互联网运营中受到有用心的人挂黑链、挂木马和留后门的情况，这样对于企业网站的数据安全是非常不利的。下面小编就为大具体的介绍一下网站建设中如何解决网站服务器的安全问题

互联网作为唯一一种全天候24小时不间断的媒体平台是传统媒体可望不可及的。作为一个企业，在互联网上建立自己的网站，最显而易见的就是可以向世界展示自己的企业风采，让更多人了解自己的企业，使企业能够在公众知名度上有一定的提升。

服务器就是企业网站建设时购买或租用的空间，想要保证服务器的安全需要从根本上做起。企业在选择服务器供应商时一定要选择那些正规的，质量有保障的公司，千万不要为了省钱而为网站后期运营埋下安全隐患。

安全性不高的服务器会因为没有安装质量高的杀毒软件而出现很多的后门，这些后门就是黑客攻击的主要区域。为了确保企业网站的安全，我们需要对网站的后台进行定期的检查，在做好备份的同时需要做以下两项工作：1、查看里面是否有不明身份的账户存在，如果有一定要立即删除，2、仔细检查服务器里面的管理组用户，看有没有什么不明的用户，有的话一定要及时删除。

除此之外，webshell的安全问题：

webshell的安全问题非常重要，黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

在实用的操作中webshell的获得不仅仅能够通过破解服务器后门获得，也可以通过php。Asp等注入漏洞获得，所以在使用cms建站程序时，一定要及时的进行修复升级，将这些注入漏洞都屏蔽掉。

网站建设只有保证了安全问题，才能更好地进行业务推广以及线上营销。

MalwareQVM06Gen这是一种木马程序， 该木马不能直接开启后门（直接开后门的话很容易被查杀），但可以从特定网站自动下载可执行程序并执行，自动下载并运行的程序就什么坏事都可能做了。查杀木马病毒，你可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀 这样就查杀的比较彻底了。