做站的朋友都有过网站被挂马的经历, 说实话, 我对这种行为非常反感, 因为我的网站赚钱指南(melejia.com)开通不到2个月, 就发现被挂马了, 当时花费了我一个晚上的时间才清除了木马, 又累又气。 后来又被挂了两次, 好在有了经验, 不用花费多少时间就搞好了。 对于网站被挂马, 我认为最好的办法还是“防”为主, 建站系统最好用正规的(我用的是动易), 不断按要求加补丁程序防漏洞, 还有, 后台密码尽量设置复杂一些, 电脑系统也要加强, 比如装上防木马软件, 杀毒软件等(我用的是360安全卫士)。 反正有网络就有木马, 病毒程序层出不穷, 站长们要非常小心!下面是站长解决中马的方法(仅对动易系统):
已中木马的动易系统网站全面解决办法
如果你发现你网站已经中招(大部分表现为被人插入iframe代码, 首页或者每个页面), 可以参照以下办法进行处理:
1、打上最新安全补丁!!!。
2、对比动易所有的文件, 发现多出来的文件, 立即下载备份(供分析用)然后从站点中删除!如果是文件大小、日期不一致的, 编辑该文件, 看是否有不良代码。 黑客比较喜欢在conn.asp和config.asp里面放不良代码。 如果发现有, 先删除。 最近还发现很多木马代码被插入到了JS文件中, 建议直接用动易程序原JS目录覆盖一次网站的JS目录。 然后上传动易官方最新文件替换。 conn.asp上传后, 记得将数据库路径修改正确。
3、查看所有的JPG,GIF文件名, 凡是发现带asp文件名的, 立即下载备份(供分析用)然后从站点中删除!(黑客比较喜欢在admin/image/......这种地方藏木马, 曾经有一位站长的站就被人在这个目录下建立了一个.asp的目录, 里面再放一个JPG木马文件。
4、以上2、3步骤是检查木马程序文件, 完成后, 就该检查后台模板了。 首先当然是立刻修改管理员密码(能动你模板说明就能进你后台了), 接着查看站内日志是否有非法登陆或者是日志被删除了, 然后在模板管理中, 用查找替换模板的方法, 查询你网站页面被插入的那个iframe代码。
5、停止网站所有的上传功能, 检查所有会员名, 发现带asp的(包括*.asa、*.cdx、*.cer), 全部删除(请自行斟酌, 为了网站安全, 损失点也没办法), 同时, 在网站选择题那设定禁止注册:asp 这样的会员。
6、如果你网站的数据库使用的是默认的Database/PowerEasy2006.mdb数据库路径和文件名, 请立即更改!切记!
7、登陆后台后网页一片空白的处理方法, 用对应版本原始的admin文件夹覆盖你的管理目录中的文件, 并将目录中多出来的文件删除掉。 如果后台菜单栏点不开的, 请重新上传文件/JS/prototype.js。
8、登陆时提示验证码不正确的, 一般表现为验证码多了下划线。 请用原始的动易文件覆盖你网站根目录上的images文件夹下面的几个后缀为fix文件, 以及/inc/checkcode.asp文件。
9、最好重新生成所有的HTML文件以及所有的JS文件。
10、以上方法都试了还不行, 那就备份数据库, 然后删除全站, 再重新上传。
下是:rhongsheng 提供的一个方案:
-------------------
1.修改/inc/checklist.asp文件中的94行, 在其中加入Or InStr(iname, ".") > 0 。 该代码起到注册是限制注册用户名包含有“.”。 或者在其中限制包含"asp"也可以Or InStr(iname, "asp") > 0。 可以两者一起限制。 经过本人测试, 限制之后eval后门执行程序起不了做用。
------------------
以上办法供参考, 有更多措施将进一步补充完善。
另外, 需要补充一下的是:
1.动易系统内自带的“禁止注册的用户名”中即使加了.asp|asp|限制都依然可以注册, 所以为防止出现意外, 建议暂时关闭会员注册, 或根据以上的临时修改方案暂时解决。
2.假如你网站的数据库使用的是默认的Database/PowerEasy2006.mdb数据库路径和文件名, 请立即更改!切记!
祝你的站天天平安, 流量不断!
