VPS主机如何预防挂马？

拨号VPS主机作为互联网基础常用的的设备之一，现在的拨号VPS主机的虚拟化技术慢慢的成熟。对于固定IP的VPS主机来说，其主要的作用就是网站的空间，当网站的运行时间运行的比较长了的话，网站的文件就会比较多，利用手工的方式来查看的话是比较麻烦的。杀毒软件仅仅对恶意代码进行查杀，对网页木马以及挂马程序不一定全部查杀，在使用过程中很容易遭到入侵，而VPS主机是存放网站数据的重要设备。数据丢失会给我们带来重大的损失。所以当VPS主机被侵入后如何处理：

方法一、检查控制面板->添加/删除程序里面是不是被人装了其他软件。

方法二、如果安装了一些主机管理系统，则检查是否有新版本升级。

方法三、检查有没有多出来的管理员账号，删除或禁止它，同时删除C:DocumentsandSettings目录下对应的黑客管理员目录(可能要重启后才能删除干净)。

方法四、如果再次被入侵，建议重装系统。重装系统后，需要安装第三方软件，比如PHP、MySQL、主机管理软件的，务必确保使用的是最新版本，不要直接使用服务器上的老软件。系统全部配置完毕后，请再用杀毒软件扫描一次。

如果你需要对VPS主机的安全性进行提升，也可以与你的服务商进行沟通，RAKsmart专业团队给为你定制一个合理的方案。

分析出现这种情况是由于管理端的登录密码设置太简单，并且代码没有对恶意猜测请求和行为做限制和校验。黑客测试出登录请求URL链接格式和参数，自行拼装客户端请求URL，不间断登录测试暴力破解密码。
解决方式有很多，这里我推荐使用Fikker web服务端支持系统来做整体解决方案。这样做的好处有：
1、Fikker 部署在源站的前端作为反向代理服务器，将源站的地址和端口隐藏，源站对于外部网络不可见。安全性得到极大的提高。
2、Fikker 利用转向管理能力，对于 客户端URL格式可以进行格式校验，非法格式直接跳转到其它页面。非法用户始终获取不了URL参数格式。
3、Fikker对于伪造的客户端>按我的网站被挂经验和大家共享一下。很多站长，一觉醒来，网站各个页面全部被挂马，手忙脚乱，经过几次以后，偶发现几种情况。第一，通过服务器WEBSHELL进去对网站挂马的，这种情况只能是重装服务器，进行权限设置，通过这样的服务器在安全策略设置不够好，帐户的确立，补丁更新，IIS下文件夹下不同权限的访问权限，还有第三方软件的安全性设置，如SEV-U，SQLSERVER，这些在网站都可以找到的。这种情况我们基本下可以看到C盘根目录下有可执行的可疑文件，用户组多了未知用户，权限有ADMINISTRATOR权限，这时候，只能是重装，因为你的服务器被挂了。所以从最先开始重装的时候要充分考虑到权限问题。(备注:数据备份一定要有规律和及时性)第二网站程序被注入如SQL注入，如上传代码漏洞等。一般我们这里分二种情况。1，网序自主开发或是网上DOWNLOAD下加自已开发，这样程序，我们在前期开发时要充分考虑到注入与上传设置，特别网站下载下来先杀毒一遍，实在没办法的，用通用的防注入程序，然事开发好后用网站扫描工具扫描，这里面要着重注意到的是SQL数居库权限，上传文件权限，网站防注入措施，上传代码或第三方组件。这几个分面充分考虑下，如果被挂，在第一步没问题的情况下查看IIS日志，查看网站下最新更新文件及新建文件，用杀毒软件杀出可疑问件，如果是静态的可采用字符替换器进行换，完善网站程序。2，程序是网上购买和采用第三方程序像这样的程序一般来说没有多大问题，但是用的人多，漏洞暴光就越多，从几个成熟的产品我都经历过，这样的程序我们要做到，第一，尽量不修改原程序结构和数据结构，第二，经常关注官方更新及发布，第三，及时打补丁升级，如果您修改的多了，升级将是很麻烦的事情，像这类的程序被挂马的会，第一时间去官方查看及咨询，查看这类网站自身的日志，管理权限等方面，很多人图方便密码简单，现在会猜的人很多了。像这类网站及时打补丁，注重官方发布应该没问题。第三，机房其他IP被攻击我经历过几次，有几次，网页被挂马，服务器上怎么也查不出来，后来才发现，是机房其他IP中招发出的恶意攻击，及时咨询机房人员，像这类的挂马代码，通常出现在最上面。第四，局域网中招有时候，公司很多人都在访问网站发现中招，其实是其中有电脑中招，打开很多网站都中招，用ARP防火墙或是MAC地址查看，查到源机器，切断网线。碰到挂马是件很烦的事情，关键是站长要及时间，冷静的分析，最快时间内解决问题。

数据库被恶意注入代码是非常致命的问题，主要的手段有：利用程序漏洞，用一段程序就可以测试出来，主要体现在前台提交的一些表单上没有对非法字符进行过滤！那么我们如何防止注入呢？（这里只针对asp+MSSQL）
首先就是在程序中加上防止注入的过滤函数：
检测非字符
SQL_injdata = "|exec|insert|||delete|set | || | |char | || ||mid( |asc( ||cast|declare|exec|varchar|<script|script|iframe|3bomb|cjs"
SQL_inj = split(SQL_Injdata,"|")
检测GET
If RequestQueryString<>"" Then
For Each SQL_Get In RequestQueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(RequestQueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
responsewrite "输入非法，数据库拒绝一些特殊的字符！"
Responseend
end if
next
Next
End If
检测POST
If RequestForm<>"" Then
For Each Sql_Post In RequestForm
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(RequestForm(Sql_Post)),Sql_Inj(Sql_DATA))>0 Then
responsewrite "输入非法，数据库拒绝一些特殊的字符！"
Responseend
end if
next
next
end if
检测cookie
If RequestCookies<>"" Then
For Each Sql_Cookie In RequestCookies
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(RequestCookies(Sql_Cookie)),Sql_Inj(Sql_DATA))>0 Then
responsewrite "输入非法，数据库拒绝一些特殊的字符！"
Responseend
end if
next
next
end if
这样就基本上把表单提交数据时的漏洞给堵死了！！从三个方面判断，直接请求数据和表单提交或者cookies提交数据非法字符都会被过滤掉！
dim server_v1,server_v2
server_v1=Cstr(RequestServerVariables(">