每次我们得知服务器安全漏洞时,我们也尽量的让程序更安全并及时的出补丁,这次在得知iis 6存在这个漏洞后,我们也第一时间在(9-10)的v6 sp1上打上了这个安全补丁,但由于一些站长的疏忽,没来得及打V6 sp1补丁,导致这次的挂马事件确实比较严重,我们在此也深表谦意!

漏洞原理:见http://www.hacksb.cn/post/88.html

解决方法:见http://bbs.kesion.com/dispbbs.asp?boardid=44&Id=93161

一些站长补挂马后,不知所措!这里我主要是补充说明一种清除方法供参考:

1.进服务器删除以下文件夹admin,ks_inc,ks_editor,ks_cls,item,plus,js,club,ask,company,user,product,html及根目录下的文件如index.asp,map.asp,rss.asp,special.asp,SpecialIndex.asp,SpecialList.asp等(如有涉及到自己的文件请自行备份)这一步主要就是删除科汛的相关可能被挂马的系统文件

2.到uploadfiles目录下(主要会在uploadfiles/user目录下)找出类似x.asp;x.jpg格式的图片文件并删除(重要)

3.到模板目录template,清除相关被插入JS或iframe文件代码,如果你本机有备份template目录,那可以直接删除整个template目录

4.重新下载V6 sp1程序并将刚第一步删除的文件夹及文件上传到你的服务器!

5.最后如果你的站点有生成静态,到后台重新发布即可!

PS:请尽量按以上方法操作,最重要的是找出后门木马并删除!能删除的全部删除,然后重新上传新程序,重新生成操作，对剩余的文件要彻底排查。

在你的数据库,图片,上传目录里有没有清除掉后门了?可能挂马者在你的这些文件里留有后门