首页 > 网站相关 > 网站被挂马,我的处理办法

网站被挂马,我的处理办法

2010年10月16日 7,068 浏览数 发表评论 阅读评论

  近一段时间以来,我处理了一批被挂马的网站,总结了一些办法,现将处理步骤公布如下:

  先啰嗦一下说点题外话:

一、网站是什么原因被挂马的?

1.网站空间出现问题,如服务器系统漏洞、空间管理系统漏洞、空间权限配置不合理等等。一旦被攻破,该服务器上几乎所有的网站都会受影响;

2.网站后台系统漏洞,如开源后台的上传模块;

3.网站后台管理帐户丢失;

二、网站挂马的方式

1.页面内直接嵌入代码

2.JS文件方式

3.iframe小框架方式

4.图片方式

  下面以ASP环境为例讲讲处理步骤:

1.通过FTP或网站空间管理系统,将网站内容全部下载到本地,有服务器操作权限的直接在服务器上处理。

2.移出数据库、音乐、视频、压缩包等体积很大的文件。

3.打开工具“Advanced Find and Replace”搜索字符串“VBScript.Encode”,搜索对象为“*.*”,主要查找图片木马和加密的代码文件。

4.将找到的文件用记事本打开看看,包括图片文件。

5.重复2、3步骤搜索字符串“FileSystemObject”或“wscript.shell”,查找未加密的代码文件。

6.在“我的电脑”或“资源管理器”中对文件夹进行搜索,查找所有可执行代码文件(如:ASP、ASA、PHP、ASPX等)。如果在服务器上操作,对搜索结果切换成“详细信息”浏览,直接可以比较文件的创建时间(点击修改日期),来查看创建时间的异常。

7.打开记事本程序,缩小窗口,将搜索到的代码文件一个个拖到记事本里查看代码(一般小站文件都不是很多,都看一下比较放心),注意一句话木马 如:<%execute request("value")%> 或<%eval request("value")%>等,这些代码一般都在页面里的首部。

8.查找所有的JS文件,简单看一下文件是否为新建或JS代码被改写。

9.清理完上传的木马文件后,开始处理页面里的木马链接:使用“Advanced Find and Replace”批量替换功能,该功能支持正则表达式,非常强大,几乎可以搞定所有的木马链接。

9.根据木马上传的路径,推断一下黑客是通过什么途径上传的木马,暂时先删除站内所有具备上传功能文件。

10.用FTP上传已经处理好的文件,替换或覆盖空间里的原文件,本地备份不要删除。

11.有服务器管理权限的,设置IIS,将不需要执行代码的文件夹的“执行权限”都设为“无”,为服务器配置HIPS,阻止在线上传动态脚本文件。

12.清空浏览器缓存及COOKIE,打开网站,观察页面变化,如果依然有弹窗,可能是某些JS文件代码被改写,一个个排除。

13.观察三到十天,如果依然被挂马,查找同服务器上其它网站,若同样被挂马,联系空间商或考虑换空间。

  以上所述可能是个笨法子,但非常有效,如果您饱受网马侵扰,而毫无办法时,可以尝试一下!

分类: 网站相关 标签: , ,
  1. 2010年10月19日14:22 | #1

    学习了,站长都是在不断学习中啊,学无止尽的了