近一段时间以来，我处理了一批被挂马的网站，总结了一些办法，现将处理步骤公布如下：

　　先啰嗦一下说点题外话：

一、网站是什么原因被挂马的？

1.网站空间出现问题，如服务器系统漏洞、空间管理系统漏洞、空间权限配置不合理等等。一旦被攻破，该服务器上几乎所有的网站都会受影响；

2.网站后台系统漏洞，如开源后台的上传模块；

3.网站后台管理帐户丢失；

二、网站挂马的方式

1.页面内直接嵌入代码

2.JS文件方式

3.iframe小框架方式

4.图片方式

　　下面以ASP环境为例讲讲处理步骤： 阅读全文…

　　以前帮朋友做的一个网站，托管在垃圾IDC的虚拟主机上（朋友自己买的，图便宜嘛！），没过多长时间网站就被挂马了，朋友急忙找我处理。我仔细分析了一下：网站程序是我自己写的，不会有开源系统那样漏洞被人利用；只能是IDC被攻陷了，导致整个服务器上的网站都遭殃？我使用“旁注”工具测试该服务器上的其它站点，验证了我的判断是正确的！建议朋友立马换空间，朋友同意。

　　经过一翻折腾，重新整理好的网站在新空间里顺利运行了！

　　没过几天，朋友告诉我网站又被挂马了。感觉这次应该不是空间问题了，有可能是以前种的木马没有被发现！我仔细查看网站中的程序文件，甚至每个都打开看看（怕源代码被改写，添个一句话后门什么的），没发现异常。静下心想一下：木马为了防止被杀毒软件杀掉，基本上都是加密的，但是要让IIS运行加密的程序，需要在代码首行加上一句“<%@ language="VBScript.Encode" codepage="936"%>”。好了，查找一下“VBScript.Encode”这个关键词吧！我打开的“Advanced Find and Replace”工具　如下图：

　　查找所有文件，搜索关键词是“VBScript.Encode”，几秒钟给出了结果：在images文件夹中找到了“l.asp;v.jpg”这个图片文件，经查看源代码发现它的确是木马程序。之前我只查看“.ASP、.ASA”文件，没想到给上传了个图片木马，以后大家处理这类问题时要注意一下！

　　“Advanced Find and Replace”是一款功能超强的文本查找和替换工具，并且支持正则表达式，简直是处理网页挂马的利器！本站提供下载： 点击下载 (解压密码：wuhuaguo.org)