之前老是拼錯，“Macfee”or“Mcafee”。

最近Web服務器被掛馬，管理這臺服務器可是相當的頭痛，上面100多個站，全是低端用戶，用什么程序的都有，html，asp，asp.net1.1，asp.net2.0，jsp等，網站的后門造成了這次掛馬事件。

先貼兩張圖：

掛馬原因分析：一般為sql注入或arp攻擊所致。

掛馬后癥狀：

??? 服務器管理員用戶增多，常見為admin$,123456，iis_user等名稱的高權用戶；Guest用戶被開啟，

IIS設置被修改（篩選器被亂改，文檔欄被改），

System目錄里被強制添加文件(如：C:\WINDOWS\system32\inetsrv\IIS_AD.dll? IIS_AD.ini?等)

。

為了不做系統，我先后用360，Mcafee，金山貝殼，狂掃不止，但是無法清楚，最后用強制刪除與粉碎工具將垃圾文件刪除。

?

最后選擇使用Mcafee。

優點，能夠自己設置規則。

缺點，不會設置規則的話會很麻煩。

?

到《丁香魚(http://www.luckfish.net)》下載你所需要的Mcafee,建議使用企業版，體積小。

在安裝完成后，下載一個 《McAfee8.5i規則包》，

這個規則包建議只使用里面的 “訪問保護VS自定義保護.reg”，關閉麥咖啡后雙擊規則文件即可。

?

然后根據自己的實際情況，啟用或刪除一些規則即可。

?

?============================================================================

木馬來自這個垃圾東西：

原理很簡單，就是在IIS應用程序池isapi，特點是解決了win2003假死問題，縮短IIS應用池回收時間。
測試環境WIN2003+IIS XPSP2+IIS????WIN2000沒測試。
首先打開GetID.exe獲取注冊號，運行IIS_AD.exe生成DLL文件，加載到IIS應用池就OK了
有了他服務器任何的一個頁面都會有廣告代碼或者網馬代碼。
之后修改IIS_AD.ini里的內容：
[IIS_AD]
ADjs=
支持iframe以及script 標簽。

在此先臭罵一頓安全警戒線，你寫這個東西，不管是出于什么思想，但是總有人拿來害人，那你就該死。 注意，遇到這種東西的，用麥咖啡設置規則，阻止其運行。

============================================================================== 這個木馬是過免殺的，你必須做好嚴密的策略來阻止其運行，比如一切程序不能建立服務器登陸用戶。 所有盤符內不能創建含IIS_AD.dll 類的文件。

總結

以上是生活随笔為你收集整理的Mcafee之我见 * 一个木马引发的“麦咖啡”的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。