网站被挂马,我的处理办法

2010年10月16日 7,335 浏览数 1 条评论

  近一段时间以来,我处理了一批被挂马的网站,总结了一些办法,现将处理步骤公布如下:

  先啰嗦一下说点题外话:

一、网站是什么原因被挂马的?

1.网站空间出现问题,如服务器系统漏洞、空间管理系统漏洞、空间权限配置不合理等等。一旦被攻破,该服务器上几乎所有的网站都会受影响;

2.网站后台系统漏洞,如开源后台的上传模块;

3.网站后台管理帐户丢失;

二、网站挂马的方式

1.页面内直接嵌入代码

2.JS文件方式

3.iframe小框架方式

4.图片方式

  下面以ASP环境为例讲讲处理步骤: 阅读全文…

分类: 网站相关 标签: , ,

处理网站被挂马一例

2010年9月7日 3,546 浏览数 没有评论

  以前帮朋友做的一个网站,托管在垃圾IDC的虚拟主机上(朋友自己买的,图便宜嘛!),没过多长时间网站就被挂马了,朋友急忙找我处理。我仔细分析了一下:网站程序是我自己写的,不会有开源系统那样漏洞被人利用;只能是IDC被攻陷了,导致整个服务器上的网站都遭殃?我使用“旁注”工具测试该服务器上的其它站点,验证了我的判断是正确的!建议朋友立马换空间,朋友同意。

  经过一翻折腾,重新整理好的网站在新空间里顺利运行了!

  没过几天,朋友告诉我网站又被挂马了。感觉这次应该不是空间问题了,有可能是以前种的木马没有被发现!我仔细查看网站中的程序文件,甚至每个都打开看看(怕源代码被改写,添个一句话后门什么的),没发现异常。静下心想一下:木马为了防止被杀毒软件杀掉,基本上都是加密的,但是要让IIS运行加密的程序,需要在代码首行加上一句“<%@ language="VBScript.Encode" codepage="936"%>”。好了,查找一下“VBScript.Encode”这个关键词吧!我打开的“Advanced Find and Replace”工具 如下图:

  查找所有文件,搜索关键词是“VBScript.Encode”,几秒钟给出了结果:在images文件夹中找到了“l.asp;v.jpg”这个图片文件,经查看源代码发现它的确是木马程序。之前我只查看“.ASP、.ASA”文件,没想到给上传了个图片木马,以后大家处理这类问题时要注意一下!

  “Advanced Find and Replace”是一款功能超强的文本查找和替换工具,并且支持正则表达式,简直是处理网页挂马的利器!本站提供下载: 点击下载 (解压密码:wuhuaguo.org)

分类: 网站相关 标签: ,

计算机系统安全重在防毒!我用McAfee杀毒软件

2010年5月6日 3,765 浏览数 没有评论

  目前国内互联网环境非常恶劣:木马、蠕虫、网络钓鱼、流氓插件、恶意广告。。。铺天盖地,时时刻刻威胁着我们的爱机,说不定哪一天系统被攻破,我们的资料就会被窃取、破坏,我们的隐私就有可能泄漏。所以说系统安全不容忽视,一定要认真对待这个问题!
  木马(病毒)的开发者在设计它的时候为了防止被杀掉,而采取一系列的措施,比如:加壳、感染可执行文件进行自我复制、替换系统文件、映像劫持、驱动保护等等。一旦木马在系统中落脚,就很难彻底清除,像替换系统文件这种办法非常可怕,你把它删除了,你的系统也就完蛋了;像驱动级木马,大多采用互锁保护,非常难清理。木马已经侵入,传统的杀毒办法无能为力,所以说我们一要防止木马侵入。目前比较有效的办法就是使用沙盘或HIPS(主机入侵防御系统)。沙盘有时候并不太好用,而HIPS技术含量太高,一般用户很难掌握,在这里我推荐使用McAfee企业版杀毒软件,使用自带的HIPS模块来阻止木马的侵入!

  McAfee 8.7i 企业版: 点击下载!
  McAfee 8.7i 企业版SP3补丁: 点击下载!

  为何要选用McAfee?因为它是为数不多的,同时拥有杀毒和HIPS于一体的安全软件。McAfee是美国三大安全软件公司其中之一,他们的产品不光依靠启发式技术与病毒特征库来防御病毒,还依靠着拥有强大监控功能的防护规则来保护计算机正常运行。为啥我不使用国内杀毒软件,特别像免费的360杀毒那样?在每一年的国际安全软件评比中,来自中国的安全软件连前十位都进不了,像360杀毒内核用的是罗马尼亚的老牌杀软:BitDefender(比特梵德),所以用360不如直接用BitDefender好了,因为360用的就是它的免费版本。

下面带领大家来安装和使用McAfee!

  将文件下载到本地,用WINRAR解包以后,双击“SetupVSE.Exe”开始安装,出现以下画面:

点下一步 阅读全文…

分类: 经验技巧 标签: , ,