帮助中心 虚拟主机 常见问题及技术支持

网站被上传木马如何处理

文章来源:美橙互联    

有时会收到一些客户反映网站被黑,或被上传木马,当用户访问网站时就会下载病毒或者木马,杀毒软件弹出病毒的提示。 这种情况是以下2种情况导致的:

第一种情况: 客户网站存在文件上传漏洞,导致黑客可以使用这漏洞,上传黑客文件。然后黑客可以对该用户网站所有文件进行任意修改,这种情况比较普遍。针对这种情况, 用户需要找技术人员。 检查出网站漏洞并彻底修复,并检查看网站是否还有黑客隐藏的恶意文件。

原因: 很多网站都需要使用到文件上传功能,例如很多网站需要发布产品图片等。 文件上传功能本来应该具有严格的限定。 例如:只允许用户只能上传JPG,GIF等图片。 但由于程序开发人员考虑不严谨,或者直接是调用一些通用的文件上传组件, 导致没对文件上传进行严格的检查。处理: 处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能。

重点针对这个文件上传功能进行检查, 同时针对网站所有文件进行检查,排查可疑信息。 同时也利用网站日志,对文件被修改时间进行检查:

1) 查到哪个文件被加入代码: 用户要查看自己网页代码。根据被加入代码的位置,确定到底是哪个页面被黑, 一般黑客会去修改数据库连接文件或网站顶部/底部 文件, 因为这样修改后用户网站所有页面都会被附加代码。

2) 查到被篡改文件后,使用Ftp查看文件最后被修改时间, 例如 Ftp里面查看到conn.asp文件被黑,最后修改时间是 2008-12-22 10:34 分, 那么可以确定在 2008-12-22日10:34 分这个时间 有黑客使用他留下的黑客后门,篡改了你的conn.asp这个文件。

注意:
1) 很多用户网站被黑后,只是将被串改的文件修正过来。或重新上传, 这样是没多大作用。 如果网站不修复漏洞。黑客可以很快再次利用这漏洞,对用户网站再次入侵。
2) 网站漏洞的检查和修复需要一定的技术人员才能处理。用户需要先做好文件的备份。


第二种情况: 用户本地机器中毒了。 修改了用户自己本地的网页文件。然后用户自己将这些网页文件上传到服务器空间上了。 这种情况比较少。 如是这种情况用户要先彻底检查自己网站。

1. 这种病毒一般是搜索本地磁盘的文件,在网页文件的源代码中插入一段带有病毒的代码,而一般最常见的方式是插入一个 iframe ,然后将这个 iframe 的 src 属性指向到一个带有病毒的网址。

2. 如何检测这种情况呢?
(1)浏览网站,右键查看源代码,在源代码里搜索 iframe ,看看有没有被插入了一些不是自己网站的页面,如果有,一般就是恶意代码。
(2) 也是右键查看源代码,搜索 "script" 这个关键字,看看有没有被插入一些不是自己域名下的的脚本,如果有,并且不是自己放上去的,那很可能也有问题。

3.这种病毒怎么杀呢?
(1)有些人会说用查毒程序查过本地没有发现病毒,这就要看看本地的网站文件是否带有这些恶意代码,如果有,那基本上可以肯定你的机器是曾经中过毒的,这些病毒可能不是常驻内存的,并且有可能执行一次之后就将自己删除,所以用查毒程序查不出来是很正常的。
(2)就算这些病毒是常驻内存,杀毒程序也可能查不出来,因为这种病毒的原理很简单,其实就是执行一下文件磁盘扫描,找到那些网页文件(如 asp php html)等格式的文件,然后打开它插入一段代码,然后再保存一下。因为它修改的不是什么系统文件,病毒防火墙一般不会发出警告,如果它不是挂在一些系统进程里,而是在某个特定的时刻运行一下就退出,这样被查出的可能性更少。
(3)手工删除这些病毒的一般方法:
   a.调出任务管理器,看看有没有一些不知名的程序在运行,如果有,用windows的文件查找功能找到这个文件,右键查看属性,如果这个可执行文件的摘要属性没有任何信息,而自己又不知道是什么东西,那很可能有问题,然后上google搜索一个这个文件的信息,看看网上的资料显示是不是就是病毒,如果是就先将其改名。。
  b. 打开注册表编辑器,查看一下 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run有没有一可疑的启动项,有的话就删除。
  c.查看本地机器的 windows 控制面板,看看“任务计划”那里有没有一些不是自己定义的任务,如果有查看属性,找到这个任务所执行的可执行文件是哪个,重复前面步骤 a 的方法进行查杀。可能还有其它一些方法,可以在GOOGLE上搜索下。

4.中毒的常见原因:
一般是因为上了一些垃圾网站,这些网站有木马,然后机器就中毒了,我们的服务器一般不会中毒的,中毒的可能性很少。至于说其它客户上传了一些有问题的程序然后令服务器中毒也是不成立的,因为普通的客户的IIS进程是没有权限去修改其它客户的网站的。


 

 

准备开展业务? 立即创建网站成为代理商

遇到了问题?

24小时在线客服

电话

400-920-99337*24小时客服服务热线

代理加盟 南京一创业 郑州一创业 长沙一创业 武汉一创业 成都一创业 重庆一创业 天津一创业 苏州一创业 佛山一创业 东莞一创业 广州一创业 杭州一创业 深圳一创业 上海一创业 北京一创业 南京淘宝京东直播 郑州淘宝京东直播 长沙淘宝京东直播 武汉淘宝京东直播 成都淘宝京东直播 重庆淘宝京东直播 天津淘宝京东直播 苏州淘宝京东直播 佛山淘宝京东直播 东莞淘宝京东直播 广州淘宝京东直播 杭州淘宝京东直播 深圳淘宝京东直播 上海淘宝京东直播 北京淘宝京东直播 涡轮流量计 合肥保洁公司 青岛创业加油站 西安创业加油站 郑州创业加油站 东莞创业加油站 天津创业加油站 长沙创业加油站 武汉创业加油站 重庆创业加油站 成都创业加油站 杭州创业加油站 深圳创业加油站 广州创业加油站 上海创业加油站 北京创业加油站 域名购买 域名查询 海南房产 三亚房 三亚房产 海景房产 海南房 三亚房地产 三亚海景房 海口海景房 买海南房 三亚买房 亚龙湾房地产 海南二手房 海景二手房 saas 微信h5 在线教育系统 SEO优化 微店 在线客服系统 多用户商城系统 企业建站 网站模板 edm营销 收费邮箱 邮箱 站群 香港空间 云主机 域名买卖 whois 域名 free website 網站架設 西安seo优化 长沙seo优化 重庆seo优化 成都seo优化 南京seo优化 杭州seo优化 郑州seo优化 武汉seo优化 天津seo优化 苏州seo优化 北京seo优化 广州seo优化 上海seo优化 深圳seo优化 佛山域名抢注 福州域名抢注 厦门域名抢注 珠海域名抢注 中山域名抢注 宁波域名抢注 无锡域名抢注 梅州域名抢注 清远域名抢注 杭州域名抢注 南京域名抢注 苏州域名抢注 惠州域名抢注 北京域名抢注 重庆域名抢注 天津域名抢注 成都域名抢注 青海省负载均衡 台湾省阿里云服务器 广西壮族自治区站群 贵州省分销 云南省域名 甘肃省微店 河南省虚拟主机 广东省AI电销机器人 重庆市合伙人计划 四川省招聘管理系统 福建省微餐饮 江西省OA系统 山东省天翼云服务器 江苏省旅游网站系统 浙江省金蝶在线进销存 安徽省云服务器代理 辽宁省负载均衡 吉林省金蝶云代账 黑龙江省小程序 上海市商标注册 天津市网络推广 河北省华为云服务器 山西省云服务器代理 香港特别行政区分销 澳门特别行政区SSL数字证书 北京市邮箱发件独享 青海省网络推广 宁夏回族自治区邮件群发 新疆维吾尔自治区云服务器代理 台湾省金蝶在线进销存 云南省阿里云数据库 西藏自治区SSL数字证书 甘肃省站群 重庆市金蝶在线进销存 四川省云课堂 贵州省本地门户网站系统 湖南省网站模板 广东省域名购买 广西壮族自治区邮箱发件独享 海南省商标注册 江西省云会议 山东省商城系统 河南省网易企业邮箱 浙江省网站建设 安徽省合伙人计划 福建省天翼云服务器 吉林省域名注册 黑龙江省公司注册 上海市网站建设 江苏省邮箱发件独享 山西省域名安全 内蒙古自治区网店 辽宁省在线客服系统 北京市金蝶在线进销存 天津市商标注册 河北省网易企业邮箱 辉南县智能名片 会宁县网店 惠农区域名安全 惠山区考试系统 惠水县OA系统 惠来县金蝶云代账 会理县邮件群发 惠民县域名注册 回民区可信网站 会昌县站群 惠城区域名 汇川区品牌宝 珲春市云会议 惠东县SSL数字证书 惠济区腾讯云服务器 壶关县腾讯企业邮箱 呼和浩特市合伙人计划 徽县美橙 惠安县考试系统 湖滨区招聘管理系统
更多》
CNDNS相关资讯