如果你不幸已经中标，我根据经验提供一些针对动网论坛的简单的查杀恶意代码(木马)的方法，查杀的效果和你付出的细心程度是成正比的，准备好你的耐心，跟我一步步走。

俗话说知己知彼，百站百胜。要想查木马，首先要了解自己的网站结构，其次要了解木马大概的组成。一个好的网站结构能快速的确定非法的文件，一个糟糕的结构会让你自己都头晕，简单来说就是文件分类归放，及时删除过期的和测试的文件，这个话题不是我们今天的重点，有兴趣的朋友请自行查找。木马的构成就复杂多变了，一般会根据功能的不同而以各种形式出现，小一点的用几十个字符就可以搞定。要查木马不需要很多工具，一个Ftp软件加上Windows自带的搜索功能，再有个文本编辑器如Windows带的记事本就齐备了。Ftp软件建议用FlashFXP，在查木马方面他有些功能比较实用。

2004-5-26 21:10:36，小黑告诉我他的论坛首页被人改了，我马上登陆他的网站，发现论坛首页文件被改，找他要来Ftp帐号密码，登陆Ftp仔细查看。他的空间只放了一个动网论坛，根据页面被改的情况分析应该是被人上传了木马程序修改，于是我打开FlashFxp，选择工具，选择在FTP服务器上查找文件，图1。

一般木马应该是asp文件，我在名称那里输入*.asp，点立即查找，图2。

耐心等待了一会，结果出来了，我点了一下"于文件夹"让查找的文件以文件夹方式排列。由于采用的是动网论坛，网站结构比较清晰，除了根目录和INC目录外，其它目录不应该存在任何asp文件，现在在UploadFace目录下存在一个可疑文件haha.asp，我又点了一下"修改时间"以最后修改时间排列，发现这个文件是最新修改过的，确实非常可疑，为了不错删，于是我选中它，在选查看，用查看源代码的方式确定它确实是个木马程序，既然确定了就不要犹豫，删！图3。

想到IIS还映射了其它类型的文件被asp.dll解释，我就如图2般又搜索了*.cer，*.cdx，*.asa，*.htr，这些文件找到一个就删一个，因为程序根本用不着他们。

嘿嘿，没想到没用2分钟就解决了问题，我正在得意，突然想到如果黑客修改了正常的文件增加了恶意代码怎么办？文件内容用Ftp可没办法查，只能全部下回来了查了，upload那几个目录有好几百M，我就不下了，只要确保里边没有asp等可执行文件就行，数据库也不用下了，其它文件都通通下回来。图4。

小黑在催我了，他想论坛尽快开通，他用的是官方原版程序，我就先删除老程序，图5， 然后下载最新的动网论坛7.0sp2，还是将根目录和刚才删除的那些目录的文件上传上去，不上传数据库，很快就传完恢复了论坛，再三叮嘱他不要安装插件或其它程序后，我专心研究下载回来的文件去了。

[1] [2] 下一页