asp站点com1.gupiao.asp,prn.gupiao.asp木马清除方法

很不幸,不知什么时候网站被挂马了!

网站的跟目录被加了几个文件,怎么删也删不掉,而且过一段时间还会自动在 ASP 的网站首页插一段

<div class=sera><ul><li style=’float:left;text-indent:-9999px;’><a href=”  http://www.xxxx.com/com1.gupiao.asp” ><img alt=”股票1大盘” src=”logo.gif” width=”1″ height=”1″ border=”0″/>股票1大盘</a></li></ul></div>

这样的代码,几个PHP的网站也没有挂上,根目录被加了的文件如下:
prn.gupiao.asp,
prn.liuhe.asp,
prn.shouji.asp,
com1.gupiao.asp,
com1.liuhe.asp,
com1.shouji.asp

一开始以为是服务器shell被拿了,查看日志文件,发现服务器登陆就只有我一个人呀。难道碰上高手了?于是,想起了自己之前做的一个文件监控器。哈哈,稍微改一下,隐藏起来密秘监控,看是不是真的是高手登陆后清除日志文件。经过一个晚上的监控,发现没有删除日志痕迹,被删除的代码又自动被弄上去了。看来还好,不是shell被拿,是cms自身漏洞了。于是,基本可以把木马范围定位于网站目录了,不用整个C盘了。

使出杀毒第一招,查看index.asp被修改时间,还有那些com1.gupiao.asp文件创建时间,然后搜索整个目录(记得设置隐藏文件和系统文件可见,然后勾选搜索隐藏文件),查找出相同的修改时间和创建时间的文件,最好是有个比较大的范围。好家伙,果然搜出几个木马来。主要有如下文件:
PRN.asp:.jpg
aux.asp
nul.asp

删除不掉怎么办?祭出杀毒辅助工具unlock,右键unlock立马干掉木马了~~~

好啦,现在是杀毒方法:
搜索PRN找出PRN.asp:.jpg这个文件,用unlock干掉,然后搜索aux.asp和nul.asp,全部干掉。相同的,把prn.gupiao.asp,
prn.liuhe.asp,
prn.shouji.asp,
com1.gupiao.asp,
com1.liuhe.asp,
com1.shouji.asp等文件也用Unclock删除就可以了。

unlock软件可以百度一下自己下载,就不提供下载了~

打赏

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注