kiom
级别: 管理员
精华: 5
发帖: 213
威望: 219 点
金钱: 2190 RMB
贡献值: 0 点
在线时间:13(小时)
注册时间:2006-09-17
|
清除所有网页木马
现在的网站越来越多了,站长也越来越多了,站长的素质也越来越参差不齐了,网络攻击者的素质也开始参差不齐了,这不我这个三流的站长最近遇上了一个三流的攻击者,在今年的三个月里他一共攻击我的网站13次,在这段时间里我一直提心吊胆,好不容易渡过了这3个月,现在将自己的经验做一下总结,和大家分享。
1、网页挂马的主要形式
按照我最近自己的实践和看到的资料大约可以有三种,具体怎么挂的,我不知道,网页被挂码的时候,你可以看你的网页的HTML,一般在最前面或者最后面有木马的代码一般有以下三种:
一:<iframe src="网马的地址" width="0" height="0" frameborder="0"></iframe>,“width="0" height="0" frameborder="0"就是大小高度的意思”这样被挂马的网页上就不会显示出来。 二:脚本挂马<SCRIPT language=java script> window.open("[url=]
二:使用js文件调用,代码如下:<script language="java script" src="</script'>http://xxxxxxx.net/111.js"></script>这种呢,是很难发现被挂码,但是容易造成HTML混乱
三:再一种代码就是调用其他网页的页面文件,可以将下面的代码复制,保存为HTM文件,代码如下:<frameset rows="444,0" cols="*"><frame src="/index.htm" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0"><frame src="help.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0"></frameset>
四:也是js文件的调用,但是给你增加了一个name值的变化使我们在杀马过程中的难度增大。<iframe src=http://www.×××××.net/one/hao8.htm?005 widtH=1 naMe='6870' heighT=1> 以上是被挂码的时候网页上会存在以上代码,那如果在检查网页是否被挂马时看到这些代码就可以证明有无挂马的现象了,发现网页被挂马就把以上代码中的任一代码删除然后保存即可。
另外还要注意的就是好多挂马者为了使自己的马隐秘性更好经常就网页木马中的地址变HEX编码,例如:http://www.163.com 转换结果:http://%77%77%77%2e%31%36%33%2e%63%6f%6d 普通网址转换为16进制的网址 访问结果相同 两者完全等效 。所以遇到这样的情况一定要眼睛亮一点啊。
2、网页木马的查杀
最好的办法就是那以前的文件覆盖,如果没有备份的,前三种木马可以拿DREAMWEAVER的全部替换(选择文件夹)来搞定,如果是第四种可以去网上找一个叫ClearTrojan.exe的软件搞定。
附件: 
cleartrojan.rar (298 K) 下载次数:0
|
|
|
|
[楼 主]
Posted:2008-08-12 13:05| |
| |
秋子社区 -> 站长交流 -> 清除所有网页木马
