通信工程主页挂马解决记录

通信工程主页挂马解决记录

第一次纯手工查杀网页木马，为了获得更多就做个总结吧。不过我当时使用的不是如下顺序，这样写是后来总结后认为应该如此处理。

第一步：当谷歌等搜索引擎报告网站有毒时，应该是这去试试看看能不能利用谷歌测出具体是那张网页。

步骤：在谷歌搜索框输入要测试的网页URL，看看是否有提醒。

利用杀毒软件测出，网站是被挂到了那个病毒服务器，如果找出，方便下一步的查找病毒语句。

如果你幸运的话，找到了URL和病毒网站的URL下一步就快了。如果一无所获就要埋头查找了。无论如何第一步结束了。

第二步：我们假设你一步都成功了。开始如下的步骤分析。

使用网页分析工具如：HTMLviewer，找出与中毒网页相关的链接和所有的脚本以及CSS文件。
首先利用编辑工具如：UEstudio查看病毒网页源代码，并查找关键字“script ”看其后有直接跟着病毒网址，当然如果第一步已经找到病毒URL就可以直接查找URL如果找到就将其删除。
现在开始分析脚本，在脚本中查找病毒URL或者一行一行分析可疑的站外链接，如果不能肯定站外链接的安全性可疑直接用谷歌判断一下，或者在网上查查它的合法程度。如果是病毒URL或者无关的URL就将其删除。
最后就剩下CSS文件了，特别注意CSS文件一般有几个，提供ie的Firefox的等等一定要每个都要处理，如果处理的只是ie中的链接，那么就会有使用其他浏览器还是会中毒的“奇妙”问题。一般的CSS挂马都是背景挂马。在最后一段中。
目前的木马算是处理清了，不过要注意，网站是否被加了Webshall和服务器已经被攻下，这时我们的任务是，深入查杀网页木马和Webshall，最重要的是加固服务器主机，并且查看服务器用户数目和权限，已经更改所有的用户密码。
第三步：如果只是知道挂马而没有其他具体信息，那最好找一个好的搜索工具如：Google桌面搜索合作百度桌面搜索等等。有一点要特别注意到对关键字，比如说动态语言文件，和CSS。

最重要的是相信自己和仔细的查找代码分析语句。

  

如何远程分析网站挂马问题

  以上是在服务器上查杀木马，比如说，我们没有权利或者义务去服务器查杀，而我们又想分析一下一个病毒网站如何入手呢。

第一种办法：使用teleport吧网站下载到本地分析，这样就和服务器上分析没有两样了。



第二种把法：使用虚拟机搭建无杀毒软件的操作系统环境，浏览病毒网站，然后查看浏览器缓存（浏览器要清空缓存，不然干扰太大），分析下载到的动态脚本文件和CSS文件，找到文件中的所有URL，然后分析URL的合法性。

使用HTMLviewer可以得出相关文件的虚拟路径。

这样我们就可以大致分析出病毒语句的文件和路径。

到这里我们就可以卖弄一下自己，告诉网管或者和朋友们分享.

共使用工具：

1, HTMLviewer

2, Uestudion

3, teleport

4, 虚拟机