近一段时间以来，我处理了一批被挂马的网站，总结了一些办法，现将处理步骤公布如下：

　　先啰嗦一下说点题外话：

一、网站是什么原因被挂马的？

1.网站空间出现问题，如服务器系统漏洞、空间管理系统漏洞、空间权限配置不合理等等。一旦被攻破，该服务器上几乎所有的网站都会受影响；

2.网站后台系统漏洞，如开源后台的上传模块；

3.网站后台管理帐户丢失；

二、网站挂马的方式

1.页面内直接嵌入代码

2.JS文件方式

3.iframe小框架方式

4.图片方式

　　下面以ASP环境为例讲讲处理步骤：

1.通过FTP或网站空间管理系统，将网站内容全部下载到本地，有服务器操作权限的直接在服务器上处理。

2.移出数据库、音乐、视频、压缩包等体积很大的文件。

3.打开工具“Advanced Find and Replace”搜索字符串“VBScript.Encode”，搜索对象为“*.*”，主要查找图片木马和加密的代码文件。

4.将找到的文件用记事本打开看看，包括图片文件。

5.重复2、3步骤搜索字符串“FileSystemObject”或“wscript.shell”，查找未加密的代码文件。

6.在“我的电脑”或“资源管理器”中对文件夹进行搜索，查找所有可执行代码文件（如:ASP、ASA、PHP、ASPX等）。如果在服务器上操作，对搜索结果切换成“详细信息”浏览，直接可以比较文件的创建时间（点击修改日期），来查看创建时间的异常。

7.打开记事本程序，缩小窗口，将搜索到的代码文件一个个拖到记事本里查看代码（一般小站文件都不是很多，都看一下比较放心），注意一句话木马　如：<%execute request("value")%> 或<%eval request("value")%>等，这些代码一般都在页面里的首部。

8.查找所有的JS文件，简单看一下文件是否为新建或JS代码被改写。

9.清理完上传的木马文件后，开始处理页面里的木马链接：使用“Advanced Find and Replace”批量替换功能，该功能支持正则表达式，非常强大，几乎可以搞定所有的木马链接。

9.根据木马上传的路径，推断一下黑客是通过什么途径上传的木马，暂时先删除站内所有具备上传功能文件。

10.用FTP上传已经处理好的文件，替换或覆盖空间里的原文件，本地备份不要删除。

11.有服务器管理权限的，设置IIS，将不需要执行代码的文件夹的“执行权限”都设为“无”，为服务器配置HIPS，阻止在线上传动态脚本文件。

12.清空浏览器缓存及COOKIE，打开网站，观察页面变化，如果依然有弹窗，可能是某些JS文件代码被改写，一个个排除。

13.观察三到十天，如果依然被挂马，查找同服务器上其它网站，若同样被挂马，联系空间商或考虑换空间。

　　以上所述可能是个笨法子，但非常有效，如果您饱受网马侵扰，而毫无办法时，可以尝试一下！