如何查杀和防范网站上的ASP木马

要查木马不需要很多工具,一个Ftp软件加上Windows自带的搜索功能,再有个文本编辑器如Windows带的记事本就齐备了。
  Ftp软件建议用FlashFXP,在查木马方面他有些功能比较实用。

第一步:
  检查网站是不是最新的组件(在登录系统后台,页面最下方显示“动易组件支持”的版本号,尽可能使用最新的组件)。


第二步:

  请检查网站根目录中是否还保留有 Install.asp 文件,若有请立即删除。当您的网站架设好后,Install.asp 文件一定要删除!!

       检查“系统设置”->“网站信息配置”中的“版权信息”是否有“< script  ”、“ <iframe ”等脚本内联代码 ,若有请立即删除。


第三步:
      
  点击“系统设置”->“在线比较网站文件”链接,利用系统提供的在线比较工具,查看动易的文件有无异常,若有利用FTP进行相应文件的检查,以确保动易的文件都是最新的。

 

第四步:

        登录Ftp仔细查找动易以外的木马文件。您可以在“FlashFXP”软件中选择“工具”->“查找在FTP服务器上的文件”功能查找文件:

  由于木马一般都为.asp 文件,所以这里FTP 文件搜索名称我们可以输入 *.asp ,查找范围全网站:

  由于黑客上传的木马往往是最近日期的,因为本身的系统作为用户并不频繁修改系统文件,点击“修改日期”按修改日期进行排列检查:

  点击最新日期的文件右键,选择“查看”:
  windows 会弹出记事本预览代码,您就可以看到本文件是否为木马文件,如果是则可利用FTP 直接删除。
       
  如果以上您不知道的文件过多,一个个排查十分浪费时间话,您可以下载整个网站程序到本机进行排查。

注意:您可以不用下载网站中的Database 目录,Database 目录中网站的数据库文件PowerEasy2006.mdb(或您已经改名)。如果检查过了各个频道文件夹内的 UploadFiles上传目录,则这些目录也可不用下载。
  究竟有多少频道目录及他们的上传目录是什么 可在系统后台,系统设置,网站频道管理中,看到频道目录名:

  各频道的上传目录名在每个频道管理的上传选项中查看:


  下载到本机后,可以利用windows 搜索管理功能,查询一些具有攻击性的语法,如动易系统没有 VBScript.Encode ,所以一经发现即可立即删除本文件。

  这里提供搜索的关键词不一定是最全的,希望有经验的朋友继续提供,我们会随时更新关键词列表。

关键词
可能性
解决方法
动易包含此关键词的文件
VBScript.Encode100%删除
海洋100%删除
稻香100%删除
冰点100%删除
0D43FE01-F093-11CF-8940-00A0C9054228100%删除
093FF999-1EA0-4079-9525-9614C3504B74100%删除
72C24DD5-D70A-438B-8A42-98424B88AFB8100%删除
CreateTextFile100%删除Install.asp ,Admin_RootClass_Menu.asp, User_saveflash.asp
eval(r100%删除
Execute request100%删除或替换无一般是在正常文件中加入如 execute request("x") 来执行非正常代码建议替换
Execute session100%删除或替换无,同上
OpenTextFile100%删除Admin_CreateOther.asp ,User_saveflash.asp
WriteLine100%删除
WSCRIPT100%删除
5xSoft100%删除
Scripting.Dictionary100%删除
Request.BinaryRead100%删除
DeleteFile90%删除或替换Install.asp ,User_saveflash.asp
MoveFile90%删除或替换reg.asp
Getfile90%删除或替换top.asp ,admin_CreateOther.asp ,Index.asp

注意:动易系统包含的不要删除,例如:User_saveflash.asp(用于系统摄像头图片捕捉上传),不是动易的建议立即删除。

第五步:

  检查服务器IIS 映射。
  如果您有自己的服务器,您要查看下 IIS 网站属性   - 主目录 - 配置选项按钮 -映射,将扩展名为cdx 和 cer 都删掉。 

 

 

  至此查木马的工作可以告一段落了。再总结归纳一下三个方法和一个注意:

方法:
       
  1、对比法:请经常关注系统后台提供的在线比较工具,查看动易的文件有无异常,需要的时候使用Ftp工具的比较功能进行比对。
  2、时间比较法:记住自己最后更新文件的时间,出现在该时间以后的可执行脚本一定有问题。但是注意,数据库的更新时间总是最新的,请不要误删。
  3、关键词搜索法:按照我提供的关键词搜索文件,基本可以确定木马。

注意:

  配置好网站后要记得删除网站根目录的 Install.asp 文件。

  最后,“防”更胜于“杀”,请及时动易官方最新的组件,尽量不安或少安插件,才是保证你的网站正常运行的不二法则。
  有一点应该注意,如果确实发现木马了,处理完毕之后,应该将具有管理权限的各类帐号都进行修改。包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP 帐号等。

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

参与评论 您还未登录,请先 登录 后发表或查看评论
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页

打赏作者

agony521

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值