服务器被挂马了,帮忙分析下

来源:百度知道 编辑:UC知道 时间:2024/06/05 12:07:44
WEB服务器被挂马了·网站根目录是在d:/newweb下。中木马了,连D:/web下所有老的网站一起被挂马了··可能是ASP木马遍历了整个D盘·我现在把d:/newweb所有上传功能全部删除了··每个文件都检查了·没发现有木马文件,但是现在还是每天都被新挂马··,但是在F盘还有个网站不会被影响。
D:/web这个目录没解析,通过WEB访问不到的。
大家帮忙分析下原因,以及处理方法··就是不能重装系统··

木马肯定在你的网站的目录中
如何快速的查找到这个木马呢?上传的木马一般后缀是:asp,asa,aspx等,这些木马的一个显著特点就是文件大小一般大于60KB,您只需要在你的网站的主目录中搜索大于60KB的文件,就可以一个个的排查到木马文件,找到这个文件删除!

删除木马并不是彻底根治的办法,主要还是找到自己的程序漏洞,这个漏洞一般都是上传文件导致的,对上传的文件做严格的控制,只运行图片或者压缩文件上传等,坚决不能运行类似asp等程序文件的上传。

即然你把上传功能都删除了,那就只有一个办法解决了,

就是给目录设置写入权限,

关掉users/iis来宾账户等的写入权限,

这样他就不能再上传东西了。

根本解决之道:

下载search and replace,可在hanzify.org中找到汉化版本,

搜索web目录下所有文件,是否包含以下常见木马关键字:

如fso、FileSystemObject、<object、saveas、stream等。

找到他暗藏的后门,即可解决,另外还有一种一行代码的后门,

可搜索关键字 eval ,或 execute(request

数据库呢?
有没有查过。