当前位置:
|
主题:[公告]针对"一生有你"版主挂马处理方案的补充说明 [收藏主题] | 转到: |
 被充一句,在线木马检测程序是找不到这种木马的,查找IIS日志方法:先查help.asp得出执行过help.asp;.jpg文件的所有IP地址,再利用查出的IP地址查出执行过的操作,浏览这些被操作过的文件是否存在200服务响应,如果有说明这些文件是存在的,打开所有系统文件和隐藏文件功能进行查找就一定可以找出木马!
|
|
 支持(0) |  反对(0)
 顶端  底部
|
![电子邮件:[ zxzthlxf@163.com ]](http://bbs.kesion.com/club/images/email.gif){kind=small}
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
 关于如何替换被改写的代码段:请使用Ultraedit 14.0以上的版本,支持多行替换及正则表达式 查找内容为: (<script).*?(icxxw|icxx%77|i%63xxw|%69cxxw|ic%78xw|icx%78w).*?(\/script>) 替换内容为:空格
选下面的正则表达式,Perl规则,再选择网站目录,可进行批量替换! |
|
|
支持(0) | 反对(0)
顶端 底部
|
 请搜索 asp*.jsp 查找所有目录,用系统自带的搜索功能即可,将可疑的文件删除即删除了木马,清理已经被注入的最好的办法就是按科汛上面提供的方法,已经按着操作清理了!最后一个就是在IIS里将一些没有ASP文件的目录的脚本运行设置成空.
|
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
| <上一主题 | 下一主题 > |