快速解决网站挂马问题

现在许多网站被挂马所害，网管被弄的很被动，我们的网站也曾经被害过，通过一段时间的探索，有以下几点体会，供大家参考

1、挂马的识别

被挂马的网站打开很慢，且在下方常出现一些不知道的连接正在打开，可以说这个网站已经被挂马。

将被挂马的网站文件下到本地（或直接在服务器上操作），用记事本打开主文件，会发现其文本上方或中间或下方插入一些脚本，如：

<iframe src=地址 width=0 height=0></iframe>

<script language=javascript src=xxx.js></script>

<script src=http:// 地址></script>等等

地址如果是％76……等则是加密地址

2、挂马的清除

用dw打开某一有挂马的asp文件，将挂马代码复制，在查找与替换中选择你网站整个文件夹，查找源代码，将挂马源代码全部替换为空。

同样将js文件等文件中的挂马代码清除

3、查找源头

比较感染挂马的网站文件夹与你原始网站文件，你会发现，会多出1到几个文件，用dw打开，为一些乱码，依稀可以看出如挂马、病毒等字样，这些文件多命名为111.asp，admins.asp等，将这些文件删除。

在你的网站可上传的文件夹中，首先删除后缀名为.asa或.asa.jpg、.asa.gif的一些文件或图片，这些是病毒原文件，如果一些图片不能用缩微图预览或不能用图画打开，说明也是病毒，删除它们。

4、网站保护

通过上述过程，网站已恢复正常，但要不再被坏人破坏，还要进行保护。在网站目录下，查找后缀为.asp的所有文件，将找出的所有文件全选，将其属性设置为只读；同样将js和css文件也设置为只读。网站只保留数据库文件、上传文件夹及要临时变化的文件夹如html文件夹取消只读。

网站的其他保护：如取消administrator用户，用一个新的系统账户，加一个很长很复杂的密码，每个网站用一个新的属于guests组的账户，封调不需要的tcp端口，ip端口只开6等。取消网站服务器的默认共享。