25Jan

服务器挂马的解决方案

时间: 2008-1-25 分类: 技术男 作者: robins 1324 次浏览

一台服务器 几乎所有网站打开网页 甚至HTML网页 都出现了

这种样式的代码 一般在头部 部分杀毒软件打开会报毒

打开HTML或ASP PHP页面在源码中怎么也找不到这段代码

起初会怀疑是JS 找了半天还是没有发现 连新建的HTML页面也会有这段代码~

仔细寻找 问题应该在IIS上 打开IIS 重新启动一次 在主IIS上右键属性 ISAPI 发现一个ISAPI扩展 没见过的

路径为:c:\windows\help\wanps.dll ISAP加载正常 绿色状态

取消重新启动IIS 所有代码消失

看图片可以看到3个文件 提取出来就是者三个文件

wanps.ini内容为:
[Filter]
Cookie=GAG5=ABCDEFG
Redirector=C:\windows\help\wanps.txt

wanps.txt内容为:


———————————————————————————————————–

关于服务器被批量挂马的解决方案

首先发现自己访问多个站点被挂马以后需要按以下流程操作解决

1、迅速访问www.baidu.com看BAIDU是否被挂马,用于排除自己的PC中病毒引起的问题。如果你访问www.baidu.com也是被挂马的话,那你就杀毒就可以了!熊猫烧香好象应用了类似的预防被杀掉的措施。

2、迅速登陆FTP或者进入服务器查看相关文件是否被写入了代码,如果被写入代码那就找规律清除吧,某些黑客用批量文本替换工具挂的马,所以你找到替换字符,替换回来就可以迅速解决。

3、如果以上两个方案都没解决,迅速打开IIS,查看仔细寻找 打开IIS 重新启动一次 在主IIS上 右键属性 ISAPI 发现一个ISAPI扩展 没见过的 ISAP加载正常 绿色状态 取消 重新启动IIS 所有代码消失

4、如果还没有解决,那你就可以放心了,不是你的机器被入侵了,速速告诉机房,和你同一网关下的某机器被拿下来,被设置了ARP欺骗。这个现象就是包括服务器的404页面都被挂了马。你可以在防火墙里设置一些规则来避免掉。我所说的这个方法也是现在最流行的挂马的方法!

本文作者:

希望您能够喜欢,欢迎您留言,我会及时答复。我要投稿

喜欢我们的文章请您与朋友分享:

相关文章:

Comments

目前有一条精彩评论

  1. zhanghong 发表于: 2008/11/06 01:12:45

    推荐大家,SQL注入最牛的解决办法在blog.mdcsoft.cn/archives/200805/46.html 太强大了,直接从IIS入口和操作系统底层直接过滤掉了非法请求,mdcsoft-ips(Web应用防护系统) …

Comments
发表评论

电子邮件地址不会被公开。*标记为必填选项

按 [ Ctrl+Enter ] 键直接提交

  • 正确格式为: http://www.shengbin.net

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

返回顶部