首页 > 网站相关 > 处理网站被挂马一例

处理网站被挂马一例

2010年9月7日 3,370 浏览数 发表评论 阅读评论

  以前帮朋友做的一个网站,托管在垃圾IDC的虚拟主机上(朋友自己买的,图便宜嘛!),没过多长时间网站就被挂马了,朋友急忙找我处理。我仔细分析了一下:网站程序是我自己写的,不会有开源系统那样漏洞被人利用;只能是IDC被攻陷了,导致整个服务器上的网站都遭殃?我使用“旁注”工具测试该服务器上的其它站点,验证了我的判断是正确的!建议朋友立马换空间,朋友同意。

  经过一翻折腾,重新整理好的网站在新空间里顺利运行了!

  没过几天,朋友告诉我网站又被挂马了。感觉这次应该不是空间问题了,有可能是以前种的木马没有被发现!我仔细查看网站中的程序文件,甚至每个都打开看看(怕源代码被改写,添个一句话后门什么的),没发现异常。静下心想一下:木马为了防止被杀毒软件杀掉,基本上都是加密的,但是要让IIS运行加密的程序,需要在代码首行加上一句“<%@ language="VBScript.Encode" codepage="936"%>”。好了,查找一下“VBScript.Encode”这个关键词吧!我打开的“Advanced Find and Replace”工具 如下图:

  查找所有文件,搜索关键词是“VBScript.Encode”,几秒钟给出了结果:在images文件夹中找到了“l.asp;v.jpg”这个图片文件,经查看源代码发现它的确是木马程序。之前我只查看“.ASP、.ASA”文件,没想到给上传了个图片木马,以后大家处理这类问题时要注意一下!

  “Advanced Find and Replace”是一款功能超强的文本查找和替换工具,并且支持正则表达式,简直是处理网页挂马的利器!本站提供下载: 点击下载 (解压密码:wuhuaguo.org)

分类: 网站相关 标签: ,
  1. 本文目前尚无任何评论.