网站中病毒或者有木马的处理方法
网站被黑或者是被上传木马是比较常见的,也是用户比较关注的一个问题,因为用户在访问网站的时候会自动下载病毒或者木马,如果有杀毒软件的话,就会有相关的提示,网站被黑或者被上传木马主要有以下两种情况。
1.网站存在文件上传漏洞,黑客会利用这样的漏洞,上传一些黑客文件。
上传之后黑客就可以对该网站的所有文件进行任意修改,这种目前比较常见的一种情况。针对这种情况, 只能找专业的技术人员进行检查,检查出网站漏洞并彻底修复,并且将一些黑客上传的隐藏恶意文件给修复。
原因: 很多网站都需要使用到文件上传功能,例如很多网站需要发布产品图片等。 文件上传功能本来应该具有严格的限定。例如:只允许用户只能上传jpg,gif等图片。但由于程序开发人员考虑不严谨,或者直接是调用一些通用的文件上传组件, 导致没对文件上传进行严格的检查。
处理: 处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能。
重点针对这个文件上传功能进行检查, 同时针对网站所有文件进行检查,排查可疑信息。 同时也利用网站日志,对文件被修改时间进行检查:
(1)查到哪个文件被加入代码: 用户要查看自己网页代码。根据被加入代码的位置,确定到底是哪个页面被黑, 一般黑客会去修改数据库连接文件或网站顶部/底部 文件,因为这样修改后用户网站所有页面都会被附加代码。
(2) 查到被篡改文件后,使用ftp查看文件最后被修改时间, 例如ftp里面查看到conn.asp文件被黑,最后修改时间是 2015-12-22 10:34 分, 那么可以确定在 2015-12-22日10:34 分这个时间有黑客使用他留下的黑客后门,篡改了你的conn.asp这个文件。
注意:
(1)很多用户网站被黑后,只是将被串改的文件修正过来。或重新上传, 这样是没多大作用。 如果网站不修复漏洞。黑客可以很快再次利用这漏洞,对用户网站再次入。
(2)网站漏洞的检查和修复需要一定的技术人员才能处理。用户需要先做好文件的备份。
2. 第二种情况是用户的本地机器中毒了。
这种情况就会修改用户自己本地的网页文件,用户不知道会把这些文件上传到服务器空间上,这种情况一般不常见。如果是这种原因造成的网站中病毒,需要用户先彻底检查自己网站。
1. 这种病毒一般是搜索本地磁盘的文件,在网页文件的源代码中插入一段带有病毒的代码,而一般最常见的方式是插入一个iframe ,然后将这个iframe的src属性指向到一个带有病毒的网址。
2. 如何检测这种情况呢?
(1)浏览网站,查看网站的源代码,在源代码里搜索iframe ,看看有没有被插入了一些不是自己网站的页面,如果有,一般就是恶意代码。
(2)查看源代码的时候搜索 "script"这个关键字,如果被插入一些不是自己域名下的的脚本,那很可能也是有问题的,这就需要我们进行进一步的检查。
3.这种病毒怎么杀呢?
(1)有些人会用查毒程序检查自己的机器,检查结果显示本地没有病毒,这就要看看本地的网站文件是否带有这些恶意代码,如果有,那基本上可以肯定你的机器是曾经中过毒的,这些病毒可能不是常驻内存的,并且有可能执行一次之后就将自己删除,所以一般用率查毒程序查不出来也是属于正常情况。
(2)就算这些病毒是常驻内存,杀毒程序也可能查不出来,因为这种病毒的原理很简单,其实就是执行一下文件磁盘扫描,找到那些网页文件(如 asp php html)等格式的文件,然后打开它插入一段代码,然后再保存一下。因为它修改的不是什么系统文件,病毒防火墙一般不会发出警告,如果它不是挂在一些系统进程里,而是在某个特定的时刻运行一下就退出,这样被查出的可能性更少。
(3)手工删除这些病毒的一般方法:
a.调出任务管理器,看看有没有一些不知名的程序在运行,如果有,用windows的文件查找功能找到这个文件,右键查看属性,如果这个可执行文件的摘要属性没有任何信息,而自己又不知道是什么东西,那很可能有问题,然后上google搜索一个这个文件的信息,看看网上的资料显示是不是就是病毒,如果是就先将其改名。
b. 打开注册表编辑器,查看一下 hkey_local_machine\software\microsoft\windows\currentversion\run有没有一可疑的启动项,有的话就删除。
c.查看本地机器的 windows 控制面板,看看“任务计划”那里有没有一些不是自己定义的任务,如果有查看属性,找到这个任务所执行的可执行文件是哪个,重复前面步骤 a 的方法进行查杀。可能还有其它一些方法,可以在google上搜索下。
4.中毒的常见原因:
一般是因为访问一些垃圾网站,这些网站本身带的有木马病毒,自己的机器就会中毒。
总结
以上所述是小编给大家介绍的网站中病毒或者有木马的处理方法,希望对大家有所帮助