首 页 学校概况 新闻动态 校务公开 教育教学 招生就业 美术工作室 下载中心 图片展示 视频中心 网上报名 留言本站
  您的位置:南阳市旅游学校|南阳市艺术中学|南阳第二中等职业学校 >> 文章中心 >> 教育教学 >> 教辅材料 >> 正文
 

网站被上传木马如何处理

 提交人: admin添加时间:2010/5/15 7:19:30 [字体: 小]

 

  有时会听到一些人询问网站被黑,或被上传木马了,当用户访问网站时就会下载病毒或者木马,杀毒软件弹出发现病毒的提示.这种情况下应该怎么办呢? 

  这种情况是以下2种情况导致的.

  第一种情况: 客户网站存在文件上传漏洞.导致黑客可以使用这漏洞,上传黑客文件.然后黑客可以对该用户网站所有文件进行任意修改,这种情况比较普遍.针对这种情况, 用户需要找技术人员检查出网站漏洞并彻底修复,并检查看网站是否还有黑客隐藏的恶意文件.

  原 因: 很多网站都需要使用到文件上传功能,例如很多网站需要发布产品图片等. 文件上传功能本来应该具有严格的限定. 

  例如:只允许用户只能上传JPG,GIF等图片. 但由于程序开发人员考虑不严谨,或者直接是调用一些通用的文件上传组件,导致没对文件上传进行严格的检查. 

  处  理: 处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能.重点针对这个文件上传功能进行检查,同时针对网站所有文件进行检查,排查可疑信息. 同时也利用网站日志,对文件被修改时间进行检查,

  1) 查到哪个文件被加入代码: 用户要查看自己网页代码.根据被加入代码的位置,确定到底是哪个页面被黑, 

  一般黑客会去修改数据库连接文件或网站顶部/底部 文件, 因为这样修改后用户网站所有页面都会被附加代码. 

  2) 查到被篡改文件后,使用Ftp查看文件最后被修改时间, 例如 Ftp里面查看到conn.asp文件被黑,最后修改时间是2008-2-22 10:34 分, 那么可以确定在 2008-2-22日10:34 分这个时间有黑客使用他留下的黑客后门,篡改了你的conn.asp这个文件. 到底是哪个文件? 可以使用网站日志查出来. 

  在www.72dns.com 的虚拟主机管理里面. 使用获取网站日志功能. 获得到 2008-2-20 日的网站日志. 

  由于日志记录和真实时间有8小时时间差, 所以您要检查的时间是 2:34分 左右. 以下是一个日志记录案例.

  2008-02-22 02:34:16 W3SVC23 211.155.230.227 GET /favicon.ico

  2008-02-22 02:34:29 W3SVC23 211.155.230.227 GET /favicon.ico

  2008-02-22 02:34:29 W3SVC23 211.155.230.227 POST /news/uppic/569853.asp

  2008-02-22 02:36:03 W3SVC23 211.155.230.227 GET/prod_Detail.asp id=59

  2008-02-22 02:38:56 W3SVC23 211.155.230.227 GET /prod_detail.asp id=63

  用户可以根据日志判定 /news/uppic/569853.asp 这个文件 应该是黑客上传的文件. 

  3) 再重复2) 步. 查看569853.asp文件修改时间,再查出到底是哪个文件 导致上传了569853.asp 这个文件. 查看到569853.asp 文件修改时间是2008-02-20 18:58分, 找到有问题的文件. 

  结果追查到有问题的文件是 uploadPic.inc.asp.

  2008-02-20 10:57:37 W3SVC23 211.155.230.227 GET/prod_ListCategory.asp cid=18 

  2008-02-20 10:58:03 W3SVC23 211.155.230.227 POST /news/admin/uploadPic.inc.asp

  2008-02-20 11:08:43 W3SVC23 211.155.230.227 GET /uploadpic/nike.jpg 

  4) 就这样循环.最后可以查出是哪个文件有文件上传漏洞, 

  要修复这些文件上传漏洞,并彻底检查网站代码,彻底删除黑客其他隐藏的黑客文件.

  注意:

  1) 很多用户网站被黑后,只是将被串改的文件修正过来.或重新上传,这样是没多大作用. 

  如果网站不修复漏洞.黑客可以很快再次利用这漏洞,对用户网站再次入侵.

  2) 网站漏洞的检查和修复需要一定的技术人员才能处理.用户需要先做好文件的备份.

  第二种情况: 用户本地机器中毒了. 修改了用户自己本地的网页文件.然后用户自己将这些网页文件上传到服务器空间上了. 

  这种情况比较少. 如是这种情况用户要先彻底检查自己网站. 

  1. 这种病毒一般是搜索本地磁盘的文件,在网页文件的源代码中插入一段带有病毒的代码,而一般最常见的方式是插入一个 iframe ,然后将这个 iframe 的 src 属性指向到一个带有病毒的网址。

  2. 如何检测这种情况呢?

  (1).浏览网站,右键查看源代码,在源代码里搜索 iframe,看看有没有被插入了一些不是自己网站的页面,如果有,一般就是恶意代码。

  (2). 也是右键查看源代码,搜索 "script" 

  这个关键字,看看有没有被插入一些不是自己域名下的的脚本,如果有,并且不是自己放上去的,那很可能也有问题。

  3.这种病毒怎么杀呢?

  (1).有些人会说用查毒程序查过本地没有发现病毒,这就要看看本地的网站文件是否带有这些恶意代码,如果有,那基本上可以肯定你的机器是曾经中过毒的,这些病毒可能不是常驻内存的,并且有可能执行一次之后就将自己删除,所以用查毒程序查不出来是很正常的。

  (2).就算这些病毒是常驻内存,杀毒程序也可能查不出来,因为这种病毒的原理很简单,其实就是执行一下文件磁盘扫描,找到那些网页文件(如asp php html)等格式的文件,然后打开它插入一段代码,然后再保存一下。因为它修改的不是什么系统文件,病毒防火墙一般不会发出警告,如果它不是挂在一些系统进程里,而是在某个特定的时刻运行一下就退出,这样被查出的可能性更少。

  (3).手工删除这些病毒的一般方法:

  a.调出任务管理器,看看有没有一些不知名的程序在运行,如果有,用windows的文件查找功能找到这个文件,右键查看属性,如果这个可执行文件的摘要属性没有任何信息,而自己又不知道是什么东西,那很可能有问题,然后上google搜索一个这个文件的信息,看看网上的资料显示是不是就是病毒,如果是就先将其改名。。

  b.打开注册表编辑器,查看一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run有没有一可疑的启动项,有的话就删除.

  c.查看本地机器的 windows 控制面板,看看“任务计划”那里有没有一些不是自己定义的任务,如果有查看属性,找到这个任务所执行的可执行文件是哪个,重复前面步骤 a 的方法进行查杀。

  可能还有其它一些方法,暂时没想到……

 

 

 


·上篇文章:关于评选2010年度中等职业学校省市级三好学生优秀学生干部先进班集体和优秀学生的通知
·下篇文章:关于评选2011年度三好学生和优秀班集体的通知
阅读:6132人次  【 复制 】 【 打印
 相关文章
没有相关文章
特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系我们,我们尽快予以更正,谢谢。
【文章评论已关闭】
当前风格:灰色畅想  
南阳市公证处
学校相册校园明星音乐天地互动教学网络U盘友情连接联系我们后台管理

版权所有 Copyright © 2005-2035 南阳市旅游学校|南阳市艺术中学|南阳第二中等职业学校 All Rights Reserved.
地址:河南省南阳市人民南路470号 邮编:473010 招生电话:0377-63223036 邮箱:nyezx@sina.com


豫ICP备07007836号

   
   欢迎光临 r
   
   
   联系我们 r