产品知识库-全球域名注册|海外主机服务器租用|海外主机服务器托管|国外虚拟主机|国外空间-海洋科技,领先的电子商务智能应用平台提供商www.idcsea.com，您全球拓展的好伙伴！

产品知识库

提交服务单

追踪服务单

续费咨询通道

投诉通道

联系我们

网站被上传木马(网站被黑)如何处理

文章归类：技术文章浏览次数：

      有时会收到一些客户反映网站被黑，或被上传木马，当用户访问网站时就会下载病毒或者木马，杀毒软件弹出病毒的提示。这种情况是以下2种情况导致的。

      第一种情况：客户网站存在文件上传漏洞。导致黑客可以使用这漏洞，上传黑客文件。然后黑客可以对该用户网站所有文件进行任意修改，这种情况比较普遍。针对这种情况，用户需要找技术人员，检查出网站漏洞并彻底修复，并检查看网站是否还有黑客隐藏的恶意文件。

      原因：很多网站都需要使用到文件上传功能，例如很多网站需要发布产品图片等。
文件上传功能本来应该具有严格的限定，例如：只允许用户只能上传JPG、GIF等图片。但由于程序开发人员考虑不严谨，或者直接是调用一些通用的文件上传组件，导致没对文件上传进行严格的检查。

      处理：处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能。重点针对这个文件上传功能进行检查，同时针对网站所有文件进行检查，排查可疑信息。同时也利用网站日志，对文件被修改时间进行检查。

      1）查到哪个文件被加入代码: 用户要查看自己网页代码.根据被加入代码的位置，确定到底是哪个页面被黑，一般黑客会去修改数据库连接文件或网站顶部/底部文件，因为这样修改后用户网站所有页面都会被附加代码。

      2）查到被篡改文件后，使用Ftp查看文件最后被修改时间，例如 Ftp里面查看到conn.asp文件被黑，最后修改时间是 2008-8-22 10:34 分, 那么可以确定在 2008-8-22日10:34 分这个时间，有黑客使用他留下的黑客后门，篡改了你的conn.asp这个文件。到底是哪个文件？可以使用网站日志查出来。使用FTP登陆您的网站空间，Weblog文件夹即为网站日志，并且以日期作为文件名称。下载ex080822.log.gz这个文件。由于日志记录和真实时间有8小时时间差, 所以您要检查的时间是 2:34分左右. 以下是一个日志记录案例.

2008-02-22 02:34:16 W3SVC23 211.155.230.227 GET /favicon.ico
2008-02-22 02:34:29 W3SVC23 211.155.230.227 GET /favicon.ico
2008-02-22 02:34:29 W3SVC23 211.155.230.227 POST /news/uppic/569853.asp
2008-02-22 02:36:03 W3SVC23 211.155.230.227 GET /prod_Detail.asp id=59
2008-02-22 02:38:56 W3SVC23 211.155.230.227 GET /prod_detail.asp id=63

用户可以根据日志判定 /news/uppic/569853.asp 这个文件应该是黑客上传的文件。

      3）再重复 2）步. 查看569853.asp文件修改时间,再查出到底是哪个文件导致上传了569853.asp 这个文件，查看到569853.asp 文件修改时间是2008-08-21 06:32分，找到有问题的文件。结果追查到有问题的文件是 uploadPic.inc.asp。
2008-08-20 22:57:37 W3SVC23 211.155.230.227 GET /prod_ListCategory.asp cid=18
2008-08-20 22:58:03 W3SVC23 211.155.230.227 POST /news/admin/uploadPic.inc.asp
2008-08-20 22:08:43 W3SVC23 211.155.230.227 GET /uploadpic/nike.jpg

      4）就这样循环.最后可以查出是哪个文件有文件上传漏洞，要修复这些文件上传漏洞，彻底检查网站代码，彻底删除黑客其他隐藏的黑客文件。
注意：

       1）很多用户网站被黑后，只是将被串改的文件修正过来，或重新上传，这样是没多大作用。如果网站不修复漏洞.黑客可以很快再次利用这漏洞，对用户网站再次入侵。
       2）网站漏洞的检查和修复需要一定的技术人员才能处理，用户需要先做好文件的备份。

第二种情况：

用户本地机器中毒了。修改了用户自己本地的网页文件。然后用户自己将这些网页文件上传到服务器空间上了。这种情况比较少。如是这种情况用户要先彻底检查自己网站。

      1. 病毒特征
这种病毒一般是搜索本地磁盘的文件，在网页文件的源代码中插入一段带有病毒的代码，而一般最常见的方式是插入一个 iframe或script ，然后将这个 iframe 或script的 src 属性指向到一个带有病毒的网址。

      2. 如何检测
1）浏览网站，右键查看源代码，在源代码里搜索 iframe ，看看有没有被插入了一些不是自己网站的页面，如果有，一般就是恶意代码。
2）也是右键查看源代码，搜索 "script" 这个关键字，看看有没有被插入一些不是自己