Ftp软件建议用FlashFXP,在查木马方面他有些功能比较实用。
第一步:
检查网站是不是最新的组件(在登录系统后台,页面最下方显示“动易组件支持”的版本号,尽可能使用最新的组件)。
第二步:
请检查网站根目录中是否还保留有 Install.asp 文件,若有请立即删除。当您的网站架设好后,Install.asp 文件一定要删除!!
检查“系统设置”->“网站信息配置”中的“版权信息”是否有“< script ”、“ <iframe ”等脚本内联代码 ,若有请立即删除。
第三步:
点击“系统设置”->“在线比较网站文件”链接,利用系统提供的在线比较工具,查看动易的文件有无异常,若有利用FTP进行相应文件的检查,以确保动易的文件都是最新的。
第四步:
登录Ftp仔细查找动易以外的木马文件。您可以在“FlashFXP”软件中选择“工具”->“查找在FTP服务器上的文件”功能查找文件:
由于木马一般都为.asp 文件,所以这里FTP 文件搜索名称我们可以输入 *.asp ,查找范围全网站:
由于黑客上传的木马往往是最近日期的,因为本身的系统作为用户并不频繁修改系统文件,点击“修改日期”按修改日期进行排列检查:
点击最新日期的文件右键,选择“查看”:
windows 会弹出记事本预览代码,您就可以看到本文件是否为木马文件,如果是则可利用FTP 直接删除。
如果以上您不知道的文件过多,一个个排查十分浪费时间话,您可以下载整个网站程序到本机进行排查。
注意:您可以不用下载网站中的Database 目录,Database 目录中网站的数据库文件PowerEasy2006.mdb(或您已经改名)。如果检查过了各个频道文件夹内的 UploadFiles上传目录,则这些目录也可不用下载。
究竟有多少频道目录及他们的上传目录是什么 可在系统后台,系统设置,网站频道管理中,看到频道目录名:
各频道的上传目录名在每个频道管理的上传选项中查看:
下载到本机后,可以利用windows 搜索管理功能,查询一些具有攻击性的语法,如动易系统没有 VBScript.Encode ,所以一经发现即可立即删除本文件。
这里提供搜索的关键词不一定是最全的,希望有经验的朋友继续提供,我们会随时更新关键词列表。
关键词
|
可能性
|
解决方法
|
动易包含此关键词的文件
|
VBScript.Encode | 100% | 删除 | 无 |
海洋 | 100% | 删除 | 无 |
稻香 | 100% | 删除 | 无 |
冰点 | 100% | 删除 | 无 |
0D43FE01-F093-11CF-8940-00A0C9054228 | 100% | 删除 | 无 |
093FF999-1EA0-4079-9525-9614C3504B74 | 100% | 删除 | 无 |
72C24DD5-D70A-438B-8A42-98424B88AFB8 | 100% | 删除 | 无 |
CreateTextFile | 100% | 删除 | Install.asp ,Admin_RootClass_Menu.asp, User_saveflash.asp |
eval(r | 100% | 删除 | 无 |
Execute request | 100% | 删除或替换 | 无一般是在正常文件中加入如 execute request("x") 来执行非正常代码建议替换 |
Execute session | 100% | 删除或替换 | 无,同上 |
OpenTextFile | 100% | 删除 | Admin_CreateOther.asp ,User_saveflash.asp |
WriteLine | 100% | 删除 | 无 |
WSCRIPT | 100% | 删除 | 无 |
5xSoft | 100% | 删除 | 无 |
Scripting.Dictionary | 100% | 删除 | 无 |
Request.BinaryRead | 100% | 删除 | 无 |
DeleteFile | 90% | 删除或替换 | Install.asp ,User_saveflash.asp |
MoveFile | 90% | 删除或替换 | reg.asp |
Getfile | 90% | 删除或替换 | top.asp ,admin_CreateOther.asp ,Index.asp |
注意:动易系统包含的不要删除,例如:User_saveflash.asp(用于系统摄像头图片捕捉上传),不是动易的建议立即删除。
第五步:
检查服务器IIS 映射。
如果您有自己的服务器,您要查看下 IIS 网站属性 - 主目录 - 配置选项按钮 -映射,将扩展名为cdx 和 cer 都删掉。
至此查木马的工作可以告一段落了。再总结归纳一下三个方法和一个注意:
方法:
1、对比法:请经常关注系统后台提供的在线比较工具,查看动易的文件有无异常,需要的时候使用Ftp工具的比较功能进行比对。
2、时间比较法:记住自己最后更新文件的时间,出现在该时间以后的可执行脚本一定有问题。但是注意,数据库的更新时间总是最新的,请不要误删。
3、关键词搜索法:按照我提供的关键词搜索文件,基本可以确定木马。
注意:
配置好网站后要记得删除网站根目录的 Install.asp 文件。
最后,“防”更胜于“杀”,请及时动易官方最新的组件,尽量不安或少安插件,才是保证你的网站正常运行的不二法则。
有一点应该注意,如果确实发现木马了,处理完毕之后,应该将具有管理权限的各类帐号都进行修改。包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP 帐号等。