网站被挂马,我的处理办法
近一段时间以来,我处理了一批被挂马的网站,总结了一些办法,现将处理步骤公布如下:
先啰嗦一下说点题外话:
一、网站是什么原因被挂马的?
1.网站空间出现问题,如服务器系统漏洞、空间管理系统漏洞、空间权限配置不合理等等。一旦被攻破,该服务器上几乎所有的网站都会受影响;
2.网站后台系统漏洞,如开源后台的上传模块;
3.网站后台管理帐户丢失;
二、网站挂马的方式
1.页面内直接嵌入代码
2.JS文件方式
3.iframe小框架方式
4.图片方式
下面以ASP环境为例讲讲处理步骤:
1.通过FTP或网站空间管理系统,将网站内容全部下载到本地,有服务器操作权限的直接在服务器上处理。
2.移出数据库、音乐、视频、压缩包等体积很大的文件。
3.打开工具“Advanced Find and Replace”搜索字符串“VBScript.Encode”,搜索对象为“*.*”,主要查找图片木马和加密的代码文件。
4.将找到的文件用记事本打开看看,包括图片文件。
5.重复2、3步骤搜索字符串“FileSystemObject”或“wscript.shell”,查找未加密的代码文件。
6.在“我的电脑”或“资源管理器”中对文件夹进行搜索,查找所有可执行代码文件(如:ASP、ASA、PHP、ASPX等)。如果在服务器上操作,对搜索结果切换成“详细信息”浏览,直接可以比较文件的创建时间(点击修改日期),来查看创建时间的异常。
7.打开记事本程序,缩小窗口,将搜索到的代码文件一个个拖到记事本里查看代码(一般小站文件都不是很多,都看一下比较放心),注意一句话木马 如:<%execute request("value")%> 或<%eval request("value")%>等,这些代码一般都在页面里的首部。
8.查找所有的JS文件,简单看一下文件是否为新建或JS代码被改写。
9.清理完上传的木马文件后,开始处理页面里的木马链接:使用“Advanced Find and Replace”批量替换功能,该功能支持正则表达式,非常强大,几乎可以搞定所有的木马链接。
9.根据木马上传的路径,推断一下黑客是通过什么途径上传的木马,暂时先删除站内所有具备上传功能文件。
10.用FTP上传已经处理好的文件,替换或覆盖空间里的原文件,本地备份不要删除。
11.有服务器管理权限的,设置IIS,将不需要执行代码的文件夹的“执行权限”都设为“无”,为服务器配置HIPS,阻止在线上传动态脚本文件。
12.清空浏览器缓存及COOKIE,打开网站,观察页面变化,如果依然有弹窗,可能是某些JS文件代码被改写,一个个排除。
13.观察三到十天,如果依然被挂马,查找同服务器上其它网站,若同样被挂马,联系空间商或考虑换空间。
以上所述可能是个笨法子,但非常有效,如果您饱受网马侵扰,而毫无办法时,可以尝试一下!
原创文章如转载,请注明:转载自无花果的原创博客 [ http://wuhuaguo.lifeskillcn.com ]
学习了,站长都是在不断学习中啊,学无止尽的了