IIS安全教程：定期检查服务器上的未知或恶意文件

介绍

在管理和维护服务器时，定期检查服务器上的未知或恶意文件是非常重要的。这些文件可能会对服务器的安全性和性能产生负面影响，甚至可能导致数据泄露或系统崩溃。本教程将介绍如何使用IIS（Internet Information Services）来定期检查服务器上的未知或恶意文件。

步骤1：备份服务器

在进行任何更改之前，首先应该备份服务器。这样，如果在检查过程中发生任何问题，您可以轻松地恢复到之前的状态。

步骤2：使用IIS Manager

打开IIS Manager并导航到您想要检查的网站或应用程序。右键单击该网站或应用程序，然后选择“Explore”选项。这将打开服务器上的文件资源管理器。

步骤3：检查文件

步骤4：扫描文件

对于可疑的文件，您可以使用杀毒软件或安全扫描工具进行扫描。这些工具可以帮助您检测和清除恶意软件、病毒和其他安全威胁。确保您的杀毒软件和安全扫描工具是最新的，并且已经更新了最新的病毒定义。

步骤5：删除或隔离文件

如果扫描结果确认某个文件是恶意的，您应该立即删除它。如果您不确定文件是否安全，可以将其隔离到一个安全的位置，以防止其对服务器造成任何危害。

步骤6：加强安全措施

除了定期检查服务器上的未知或恶意文件，您还应该采取其他安全措施来保护服务器。这些措施包括使用强密码、定期更新操作系统和应用程序、限制对服务器的访问权限等。

总结

定期检查服务器上的未知或恶意文件是确保服务器安全的重要步骤。通过备份服务器、使用IIS Manager、检查文件、扫描文件、删除或隔离文件以及加强安全措施，您可以保护服务器免受潜在的安全威胁。

香港服务器首选树叶云，提供可靠的服务器解决方案。您可以访问了解更多关于香港服务器、美国服务器和云服务器的信息。

大神，请教下HTTP 错误 403.14 - Forbidden

打开 IIS 管理器。 在“功能”视图中，双击“目录浏览”。 在“目录浏览”页上，在“操作”窗格中单击“启用”。 确认站点或应用程序配置文件中的 configuration//directoryBrowse@enabled 特性被设置为 true。

打开网站出现Service Unavailable是什么意思？怎么解决？

1. 先简单说一下：网站访问出现 Service Unavailable大多出现在windows IIS服务器中，很多时候是由于网站空间服务器的配置，或者资源限制导致的不足以承受运行的情况，有些是买的时候，不知道有所限制 而不能满足程序的运营需求，最好是联系服务商查阅相关日志，对症下药，如果撑不住最好更换服务器。 2. 出现这种情况是由于您的网站超过了系统资源限制（CPU或者IIS）造成的，这个现象在WINDOWS2003+IIS6的环境下都会出现，主要是程序占用资源太多。 不同的程序占用的资源都不一样，这个跟程序设计的合理性和优化程度有关；3. 另外，一些死循环程序，或者不优化的程序都会占用太多的系统资源，而系统资源明显是有限的。 如果一个网站的程序占资源太多或者发生太多的错误，系统日志就会提示：“应用程序池 User_pooll 被自动禁用，原因是为此应用程序池提供服务的进程中出现一系列错误， 或者提示：应用程序池 User_pooll 超过了其作业限制设置。 更多信息，请参阅微软官方的帮助和支持中心。 4. 一般的小问题访问网站提示：Service Unavailable，一般系统会在30秒左右恢复正常，多刷新几次就能正常访问了。 但是这个时间恢复后因为访问量太大在极短的时间网站又不能上了。 另外，如果网站当前访问人数过多，超过了系统的iis连接数(或CPU峰值）限制，也会出现Service Unavailable的提示(win2k主机下出现连接过多就会提示：连接过多，请稍后再试；而win2003的主机刚直接提示：Service Unavailable）如果经常出现类似的错误，请及时优化网站程序，或者升级你的主机至更高的款型，以获得更多的系统资源。 5. 网站超CPU的四种可能原因：一.网站攻击二.程序设计不合理，资源占用高，或本身在做占资源的操作，如采集三.访问量过大四.有搜索蜘蛛收录6. 程序占用资源太多的原因： 有一个或多个ACCESS数据库在多次读写过程中损坏，微软的MDAC系统在写入这个损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其他线程只能等待，IIS被死锁了，全部的CPU时间都消耗在DLLHOST（ASP进程）中。 参考解决办法： 压缩和修复我的数据库 下载数据库文件--[如果是的扩展名，请改为的扩展名]--用ACCESS打开--选择工具--数据库实用工具--压缩和修复数据库--[改回的扩展名]--上传覆盖原来数据库文件。 7. 注册了不良的Com组件，特别是用VB开发的ACTIVE X控件，可能导致占用内存使用量不断增长 参考解决办法：尽量减少或避免非官方或是客户要求的不必要的组件8. 多媒体等文件下载占用服务器带宽 参考解决办法：停止下载9. 程序问题，需要及时的关闭不再使用的数据库，以避免一直占用服务器资源 在 连接数据库字符串语句中加入如下 sub endConnection() set conn=nothing end sub 其它程序问题：把IE选项里 显示友好HTTP错误信息 的勾取消掉，再访问网站看出现什么错误信息，然后再调试。 10. 上传重要的数据库等文件更新，由于正处于受访问状态，可能导致瞬间占用率上升 一般此情况较少，若有出现此情况时，可能有必要先暂停站点，再作更新ACCESS论坛（如动W）大了以后就很容易出现数据库方面的问题，当你的论坛数据库在30M以上，帖子5万左右,可能就会出现数据库吃不消的情况，建议取消程序中使用的on error resume next这个容错语句，对错误进行调试。 临时解决办法：定期删除多余的数据、压缩数据库，限制论坛灌水，甚至限制论坛注册。 如果是ASP论坛，可以使用分表储存功能，会有较好的效果 比较长远办法：更换论坛和数据库，一般都采用商业版本+MSSQL 的方案来解决。

CPU占用率

CPU占用100%案例分析1、 dllhost进程造成CPU使用率占用100%特征:服务器正常CPU消耗应该在75%以下，而且CPU消耗应该是上下起伏的，出现这种问题的服务器，CPU会突然一直处100%的水平，而且不会下降。 查看任务管理器，可以发现是消耗了所有的CPU空闲时间，管理员在这种情况下，只好重新启动IIS服务，奇怪的是，重新启动IIS服务后一切正常，但可能过了一段时间后，问题又再次出现了。 直接原因:有一个或多个ACCESS数据库在多次读写过程中损坏，微软的 MDAC 系统在写入这个损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其它线程只能等待，IIS被死锁了，全部的CPU时间都消耗在DLLHOST中。 解决办法:安装“一流信息监控拦截系统”，使用其中的“首席文件检查官IIS健康检查官”软件，启用”查找死锁模块”，设置:--wblock=yes监控的目录，请指定您的主机的文件所在目录:--wblockdir=d:\test监控生成的日志的文件保存位置在安装目录的log目录中，文件名为停止IIS，再启动“首席文件检查官IIS健康检查官”，再启动IIS，“首席文件检查官IIS健康检查官”会在中记录下最后写入的ACCESS文件的。 过了一段时间后，当问题出来时，例如CPU会再次一直处100%的水平，可以停止IIS，检查所记录的最后的十个文件，注意，最有问题的往往是计数器类的ACCESS文件，例如:”**COUNT. MDB ”，”**”，可以先把最后十个文件或有所怀疑的文件删除到回收站中，再启动IIS，看看问题是否再次出现。 我们相信，经过仔细的查找后，您肯定可以找到这个让您操心了一段时间的文件的。 找到这个文件后，可以删除它，或下载下来，用ACCESS2000修复它，问题就解决了。 2、 造成CPU使用率占用100%在文件中，在[Windows]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。 一般情况下，它们的等号后面什幺都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。 当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成文件，如果不注意可能不会发现它不是真正的系统启动文件。 在文件中，在[BOOT]下面有个“shell=文件名”。 正确的文件名应该是“”，如果不是“”，而是“shell= 程序名”，那幺后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒，与早先在西方英文系统下流行“红色代码”病毒有点相反，在国际上被称为VirtualRoot(虚拟目录)病毒。 该蠕虫病毒利用Microsoft已知的溢出漏洞，通过80端口来传播到其它的Web页服务器上。 受感染的机器可由黑客们通过Http Get的请求运行scripts/来获得对受感染机器的完全控制权。 当感染一台服务器成功了以后，如果受感染的机器是中文的系统后，该程序会休眠2天，别的机器休眠1天。 当休眠的时间到了以后，该蠕虫程序会使得机器重新启动。 该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年，如果是，受感染的服务器也会重新启动。 当Windows NT系统启动时，NT系统会自动搜索C盘根目录下的文件，受该网络蠕虫程序感染的服务器上的文件也就是该网络蠕虫程序本身。 该文件的大小是8192字节，VirtualRoot网络蠕虫程序就是通过该程序来执行的。 同时，VirtualRoot网络蠕虫程序还将的文件从Windows NT的System目录拷贝到别的目录，给黑客的入侵敞开了大门。 它还会修改系统的注册表项目，通过该注册表项目的修改，该蠕虫程序可以建立虚拟的目录C或者D，病毒名由此而来。 值得一提的是，该网络蠕虫程序除了文件外，其余的操作不是基于文件的，而是直接在内存中来进行感染、传播的，这就给捕捉带来了较大难度。 ”程序的文件名，再在整个注册表中搜索即可。 我们先看看微软是怎样描述的。 在微软知识库中对有如下描述 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。 其实是Windows XP系统的一个核心进程。 不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有的存在。 一般在Windows 2000中进程的数目为2个，而在Windows XP中进程的数目就上升到了4个及4个以上。 所以看到系统的进程列表中有几个不用那幺担心。 到底是做什幺用的呢?首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。 由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服务做成了共享模式。 那在这中间是担任怎样一个角色呢?的工作就是作为这些服务的宿主，即由来启动这些服务。 只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不能为用户提供任何服务。 通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。 是病毒这种说法是任何产生的呢?