很多木马都是通过得到WEBSHELL权限来给您的网站搞破坏的,如果拿到这个WEBSHELL权限,如果您的服务器的用户权限设置不好的话,那就等于黑客拥有了您这台服务器。这个WEBSHELL权限是比较大的权限。
黑客手段:首先,我们先了解了一下黑客的手段,通常的情况下,黑客都是利用一个文件来掌管您的所有文件的。这是文件的一张截图。
我这里说的是一般黑客,也是大部分用户出现的问题。下面我会讲到利用这个文件来查木马,一般的木马还是可以查出来的。
这里我提供下载,注:请勿用于非法用途,否则后果作者概不负责!
---->> 文件下载 密码为:123123
一、木马处理
1.删除木马
查看木马--->确认木马-->删除木马
(1)查木马:怎样查呢?我们就用他们的工具来查,我们“以毒攻毒”吧。呵呵~~大家看上面的左侧,是不是有一个“查找木马”的功能,点击后出现:
如图(红色框):
这里就有一个查木马的功能了,然后我们点“开始扫描”。
注意:大家这里注意下,如果您的文件较多或者较大,就会出现错误,一般是数据库引起。解决方法就是先把您的数据库先剪切出来,一般数据库在“Database”目录下,然后再点“开始扫描”,这里会比较慢,请耐性等待。
(2)认木马
扫描后,到底有怎样才能确认它是木马文件呢,下面我讲解下。
扫描出来后,可以看到大概的图片,如图:
这里大家注意一下红色的提示。
一般提示为“似乎脚本被加密了”“危险组件,一般被ASP木马利用”都是木马文件,但是,也有例外的。提示“似乎脚本被加密了”是因为一般木马文件会加密后是上传,但是,如果他没有加密,一般就提示为“危险组件,一般被ASP木马利用”,注意了,这里面显示的所有文件建议建议都和原文件对比下,看看是不是木马程序。
(3)删除木马:当然,知道了是木马程序还不赶快删除,或者下回来自己研究研究下。呵呵~~不要忘记把自己上传的木马文件都一起删除哦!
这是查木马的其中一种方法,还有另一种方法就是文件对比方法。
上面为方法一,下面的作为方法二:
利用“Beyond Compare”软件对文件进行一一对比,不相同的当然一看就知道了。
|
Beyond Compare 是一款不可多得的专业级的文件夹和文件对比工具。使用他可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。对软件汉化者来说,这绝对是一款不可多得的工具。 |
软件下载地址:http://www.crsky.com/soft/2975.html 或 http://www.skycn.com/soft/3710.html
如果下不了可以自己去搜索下再下载。
下回来后安装,可以不重启电脑,安装完后然后继续下面的几个步骤操作,下面我简单做说下操作过程。
步骤一,先下一套动易最新程序安装到本地,比如我把这个最新的动易程序放在“D:\web”目录下。然后把中了木马的动易程序放在“D:\webold"目录下。
步骤二,开始对比,打开D盘,然后选中“web”目录-->右键-->选择“选为左侧对比窗口”然后再选中“webold”目录-->右键-->选择“与"web"比较”。然后软件就会打开,看到对比界面。
注意:方法二需要把整个站下回来后在做相关的操作,方法一可以不下回来,但是如果出现错误等情况,就需要下回来再处理。
2.修改管理员密码(包括所有管理员密码)、管理员认证码;
修改管理员密码方法:http://help.powereasy.net/Equipment/ShowArticle.asp?ArticleID=752
修改管理员认证码方法:打开Admin/Admin_ChkCode.asp 然后修改第三行,如果没有启动,建议启动然后修改认证码。
3.修改数据库密码;
修改数据库密码的方法,不同的用户就不同的修改方法:
(1)如果是虚拟主机用户,一般在主机管理平台里面有修改数据库密码的功能,如果不知道再那里,可以联系一下您购买主机的空间商。在主机平台修改完后然后再到网站目录下的CONN.ASP修改您的数据库密码了,和您刚才修改的数据库密码要一致哦。
(2)如果是自己服务器,自己可以到SQL的企业管理器修改密码。
打开“企业管理器”中的安全>登录>选择某用户名右键进行修改。
4.修改FTP密码、主机管理平台密码(空间网站);
这些操作都在主机管理平台上操作,如果是自己服务器并且开了FTP的,就要在FTP软件进行修改FTP密码。
还有,如果是自己服务器的,还需要修改一下服务器的所有超级管理员密码。
5.联系管理员对服务器进行进一步安全配置;
如果是自己服务器的,查找相关的资料进行配置。
6.利用McAfee的文件保护规则;
相关资料:/CMS/CMS2006/safe/1155.html
注意:每一次清除木马都需要做的所有步骤。
Gzwm.Net
网友评论:(评论内容只代表网友观点,与本站立场无关!)【发表评论】