asp服务器老是被人链接别的网址啊

xiaoxin15 2008-04-24 10:55:58
web网站,装有iis6,这2天在程序里面经常有“<script language="javascript" src="http://51yes.ocry.com/click2.js?id=259865365&logo=1"></script>”这个链接,服务器也杀毒了,没有病毒。装的卡巴,也有360。我把它去掉之后,隔2天又有了。有什么好办法吗?
...全文
476 点赞 收藏 36
写回复
36 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
yyyrrr51 2009-06-24
解决了没?我也遇到同样的问题
回复
falee 2008-04-30
你把文件设置成只读属性,就是ASP页面数据库不用。
回复
纪俊 2008-04-30
一般是被挂马了,以前碰到过类似现象,呵呵~
回复
dingmin 2008-04-30
[Quote=引用 6 楼 qianjin036a 的回复:]
这不是木马.
这是有人在你的服务器中装了后门,然后定期把你的页面里面加上这一段.这一段的目的是为了将你的网站为他的网站增加点击率.你可以和 51yes网站联系,问问他们id=259865365是哪个网站,就知道是谁搞的了.
但估计51yes不一定会告诉你,所以你还是把自己网站的程序好好查一下,看看哪些.asp文件不是你自己的,哪些.asp文件是最后被更改的(在你上传服务器后被更改),然后把不是你的程序删除掉,把那些被人改写的程序(一般都加…
[/Quote]
回复
dugucan 2008-04-30
服务器里一定不只是你一个站点,别的站的页面也中了毒,你只改你自己的没用
回复
skycan 2008-04-29
有很多都是到网上找来的,因为是学习之用,此类木马是有反查功能的,你可以这样去找一个asp木马,然后放在IIS站点下,运行进行反查,找到那木马,然后删除之...
前段时间我也碰到过,用这样的办法找到了那木马..
回复
rankisky 2008-04-29
和51yes联系做什么?那跟本不是人家的网站。。。

如果能被一个人上传木马并感染,那很快就会被其它人感染,并且很快会有越来越多的人知道。

估计是这些人已经把一些有sql注入漏洞的网站的域名放到一个列表里了。

而且这些人在连接的时候也会占用大量服务器资源。

如果是比较狠一的风格的话,那就都换了,换套程序。程序不用同样的名字。重新开发,应该问题不大。

我觉得ASP本身比较安全的,但是要考虑到严格的验证,数字只能是数字,多个'都不行,如果做到这样的话,我觉得asp很

方便,很好使的嘛~呵。

回复
xiaoxin15 2008-04-29
链接地址又换了啊,郁闷。
<script language="JavaScript" src="http://cnzz.zyns.com/stat.js?id=4265203&web_id=4265203&show=pic" charset="gb2312" ></script>
回复
zhanghuacheng 2008-04-29
这是典型的网站被挂马的表现,引起的原因很多,如:
1、IIS所在的服务器配置不健全,被人攻克了;
2、网页存在注入漏洞
3、服务器所处在的局域网存在ARP病毒

建议采用:费尔托斯特 对服务器进行全面杀毒(2008年电脑报合订本上有提供)
回复
任何风 2008-04-29
只能先用工具将所有加的代码清掉再说了,清空后如果暂时没有找到解决的方法,可以将文件的属性全部改成只读顶一顶先的。replall.exe这个工具可以比较快速地去掉指定的代码,上网找找的。
回复
fishidea 2008-04-29
这是页面被注入了非法代码,一般以<iframe></iframe>为多,看看你的服务器IIS的设置,是否是给了写的权限,还有,用第三方工具寻找你网站内所有文件内包括<iframe>或你这个<script>的代码,一般来说,应该有不少页面都被注入了~将这些<iframe>与>script>非法的代码全部删除先.然后再进行服务器杀毒,还有,看一下网站内是否有上传组件的功能,看看是否做了必要的文件上传限制.祝好运~
回复
xindan0310 2008-04-29
我也碰到过这样的问题,真的很郁闷,我是花了差不多大半天时间把服务器里面的所有文件下下来,没用的东西全部删掉,一个个排查.........
没办法,偶很菜
文件也没想象中的那么多
在网上也查过相关的解决办法,转下:http://www.blueidea.com/tech/web/2008/5575.asp
先谢谢写这个的人了,其实我现在还是不会
回复
Gmail8 2008-04-28
[Quote=引用 6 楼 qianjin036a 的回复:]
这不是木马.
这是有人在你的服务器中装了后门,然后定期把你的页面里面加上这一段.这一段的目的是为了将你的网站为他的网站增加点击率.你可以和 51yes网站联系,问问他们id=259865365是哪个网站,就知道是谁搞的了.
但估计51yes不一定会告诉你,所以你还是把自己网站的程序好好查一下,看看哪些.asp文件不是你自己的,哪些.asp文件是最后被更改的(在你上传服务器后被更改),然后把不是你的程序删除掉,把那些被人改写的程序(一般都加…
[/Quote]
回复
xiaoxin15 2008-04-28
问题依旧啊。我早上来上班就发现了链接,用DW替换之后。中午就又链接上了。NND。郁闷死了。
高手帮忙啊。谢谢了。
回复
harehangjia 2008-04-28
自己在本地用一个后门程序查看一下哪些文件有,在用批清理把那句话删除.. 在把你的程序好好看看防注的语句.呵呵`
回复
gingerkang 2008-04-28
[Quote=引用 5 楼 chjin 的回复:]
这是ASP形式的木马吧,


这就是ASP的问题.
[/Quote]
如此理论...都是windows系统那就是windows的问题,都是人在用,就人的问题,都在地球上就是地球的问题,都在太阳系,就是太阳系的问题,都在宇宙就是宇宙的问题.
回复
xiaoxin15 2008-04-28
哎,不行啊。自己去想办法吧。
回复
飞天神笔 2008-04-28
建议你安装金山毒霸,我觉得金山毒霸在杀木马方面还是挺不错的。在淘宝上买个年卡才几元钱,呵呵。

好多人认为木巴斯基好,我可不这么认为。
我一个同事原来安装有正版卡巴6,天天升级,也没报病毒,前几天他买了个正版卡巴7,结果一安装查出N个病毒。
如果说这些病毒只有安装卡巴7后才能发现和杀掉的话,安装卡巴6的人不是太惨了?


-----------------------------------------------------------
爱找房(http://www.izfang.com)
 我的个人网站,个人免费的房屋租赁网站,已从技术上防中介在“个人房源”栏捣乱,大家要多多捧场哦。
回复
cnxx8 2008-04-28
像这类的木马,只要你的做好以下两点,那么它的安全性就会有很大的提高:
(1)加强对上传文件夹的管理(权限),例如:图片文件夹,只给读取权限。
(2)如果不需要生成静态页面,那你可以把整个网站,仅给读取权限,数据库给写入权限。
回复
momoco4 2008-04-28
<%
'Option Explicit
'Response.Expires = 0
'Response.CacheControl = "no-cache"
Dim Query_Badword,Form_Badword,i,Err_Message,Err_Web,name

'------定义部份 头----------------------------------------------------------------------

Err_Message = 1 '处理方式:1=提示信息,2=转向页面,3=先提示再转向

Err_Web = "Err.Asp" '出错时转向的页面

Query_Badword="'∥and∥select∥update∥chr∥delete∥%20from∥;∥insert∥mid∥master.∥set∥chr(37)∥="

'在这部份定义get非法参数,使用"∥"号间隔

Form_Badword="'∥%∥&∥*∥#∥(∥)∥=" '在这部份定义post非法参数,使用"∥"号间隔

'------定义部份 尾-----------------------------------------------------------------------
'
'On Error Resume Next

'----- 对 get query 值 的过滤.

if request.QueryString<>"" then
Chk_badword=split(Query_Badword,"∥")
FOR EACH Query_Name IN Request.QueryString
for i=0 to ubound(Chk_badword)
If Instr(LCase(request.QueryString(Query_Name)),Chk_badword(i))<>0 Then
Select Case Err_Message
Case "1"
Response.Write "<Script Language=JavaScript>alert('传参错误!参数 "&name&" 的值中包含非法字符串!\n\n请不要在参数中出现:and update delete ; insert mid master 等非法字符!');window.close();</Script>"
Case "2"
Response.Write "<Script Language=JavaScript>location.href='"&Err_Web&"'</Script>"
Case "3"
Response.Write "<Script Language=JavaScript>alert('传参错误!参数 "&name&"的值中包含非法字符串!\n\n请不要在参数中出现:and update delete ; insert mid master 等非法字符!');location.href='"&Err_Web&"';</Script>"
End Select
Response.End
End If
NEXT
NEXT
End if

'-----对 post 表 单值的过滤.

if request.form<>"" then
Chk_badword=split(Form_Badword,"∥")
FOR EACH name IN Request.Form
for i=0 to ubound(Chk_badword)
If Instr(LCase(request.form(name)),Chk_badword(i))<>0 Then
Select Case Err_Message
Case "1"
Response.Write "<Script Language=JavaScript>alert('出错了!表单 "&name&" 的值中包含非法字符串!\n\n请不要在表单中出现: % & * # ( ) 等非法字符!');window.close();</Script>"
Case "2"
Response.Write "<Script Language=JavaScript>location.href='"&Err_Web&"'</Script>"
Case "3"
Response.Write "<Script Language=JavaScript>alert('出错了!参数 "&name&"的值中包含非法字符串!\n\n请不要在表单中出现: % & * # ( ) 等非法字符!');location.href='"&Err_Web&"';</Script>"
End Select
Response.End
End If
NEXT
NEXT
end if
%>

交互性的提交参数时只要你的页面没支持HTML语言,一个server.htmlencode(str)就行了,JS注入就防住了。。。
把上面的东西放到你CONN.ASP也就是连接数据库的文件里
或者专门建个文件,有要传参数的页面都在最顶端加载下

可以防注入机一类的工具。。。人工检测注入的你的网站就表想了
没人会闲的蛋疼,实习者除外。。。
回复
加载更多回复
相关推荐
发帖
ASP
创建于2007-09-28

2.8w+

社区成员

ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
申请成为版主
帖子事件
创建了帖子
2008-04-24 10:55
社区公告
暂无公告