有段日子没上服务器瞄了,SITE了一把,哎哟呀喂,小站给收了喔。
顺手又点开了咱家的小站,卡巴杀猪般的叫声噼里啪啦的就响起来了,右下角刷刷刷就彪出一段段血红血红的警告,说http://www.cf256.cn包含木马程序,我那个晕啊,我好好的没事给自己站挂马?
赶紧上服务器上其它的站瞄了下,所有的站都报木马程序和恶意代码,折腾了一下午,总算是把马清完了,现在给大家送上一点经验,希望能对被挂马的同学有帮助。
网站被挂马后不要急,先把数据备份,在把网站的写入权限关掉,杜绝掉黑客同学继续搞破坏
然后查找WEBSHELL所在的位置,一般情况下木马都很小,如果你用的DEDE,可以尝试用后台提供的木马扫描检测功能检查下
现在的木马很先进的说,都是挂IIS的,如果你的站被挂马了,请及时检查C:\Inetpub\wwwroot\iisstart.htm该文件,IIS被挂马后出现的情况就是你客户端浏览页面是报毒的,但是你实际生成的页面上检测不到恶意代码,如果你出现这种情况,赶紧查一下吧。
如果你查不到WEBSHELL所在的位置,建议把iis去掉asp,php的执行权限,然后一天后,再去看iis日志,如果有asp,php的访问日志,顺着那地址就能找到webshell了
如果你用的是空间被挂马的话,直接备份好数据,重装就行了。
我至今都不晓得我那小站是从哪被挂进来的,用的是DEDE,补丁全打了。
切记,挂马后不要乱着急,先备份好数据,然后慢慢解决,有些缺德一点的,把数据随便敲几个,那就得不偿失了。
不会写文章,都是想到哪写到哪的,写的不好还请各位多多谅解。