您现在的位置: 
| ·好听的歌 | ·火影忍者 | ·繁体字转换 | ·在线听歌 | ·火影忍者漫画 | ·最新歌曲 | ·psp游戏下载 | ·photoshop | ·火星文 |
如何查杀和防范木马
作者:quest 文章来源:动网 点击数: 更新时间:2005-10-9
打开Windows的搜索功能,要搜索的文件名写*.asp,想到很多木马都有这行代码"LANGUAGE = VBScript.Encode",而动网论坛是不用这行代码的,于是我输入"VBScript.Encode"来查找所有含有"VBScript.Encode"的asp文件,嘿嘿,果然找到几个,图6。 
当然,也不是所有木马都一定要用这行代码,继续搜关键词来判断是否木马。列出一些关键词供参考。
我提供的关键词不一定是最全的,希望有经验的朋友继续提供,我会随时更新关键词列表。
|
关键词 |
可能性 |
解决方法 |
动网包含此关键词的文件 |
| VBScript.Encode | 100% | 删除 | 无 |
| 海洋 | 100% | 删除 | 无 |
| 稻香 | 100% | 删除 | 无 |
| 冰点 | 100% | 删除 | 无 |
| 0D43FE01-F093-11CF-8940-00A0C9054228 | 100% | 删除 | 无 |
| 093FF999-1EA0-4079-9525-9614C3504B74 | 100% | 删除 | 无 |
| 72C24DD5-D70A-438B-8A42-98424B88AFB8 | 100% | 删除 | 无 |
| CreateTextFile | 100% | 删除 | 无 |
| eval(r | 100% | 删除 | 无 |
| Execute request | 100% | 删除或替换 | 无一般是在正常文件中加入如 execute request("x") 来执行非正常代码建议替换 |
| Execute session | 100% | 删除或替换 | 无,同上 |
| OpenTextFile | 100% | 删除 | 无 |
| WriteLine | 100% | 删除 | 无 |
| WSCRIPT | 100% | 删除 | 无 |
| 5xSoft | 100% | 删除 | 无 |
| Scripting.Dictionary | 100% | 删除 | 无 |
| Request.BinaryRead | 100% | 删除 | 无 |
| DeleteFile | 90% | 删除或替换 | admin_bbsface.asp admin_data.asp admin_postings.asp admin_uploadlist.asp admin_upUserface.asp upfile.asp |
| MoveFile | 90% | 删除或替换 | reg.asp |
| Getfile | 90% | 删除或替换 | reg.asp showimg.asp viewfile.asp |
| =VBS | 90% | 删除或替换 | Dv_ubbcode.asp |
如果您对服务器有操作权,建议您再做如下设置: 进入站点属性,选主目录,点配置,将不需要的脚本映射全部删除,一般只保留.asp就可以了,其它的全部可以删除,图7。
在iis中选取Uploadface,属性,将执行许可设置为无,还需要设置的还有uploadfile,previewimage这两个目录,如果你愿意的话,可以将除了Inc目录外的其它所有目录可执行权限都设置为无。 
至此查木马的工作可以告一段落了,再来总结归纳一下方法 1、在网站结构清楚的情况下,浏览目录法能快速确定木马,在不该出现的地方出现的文件,管他是不是木马都可以删。
2、时间比较法,记住自己最后更新文件的时间,出现在该时间以后的可执行脚本一定有问题,但是注意,数据库的更新时间总是最新的,不要误删哦。
3、对比法,此方法上边没做详细说明,其实也就是本地保留一份完整备份,需要的时候使用Ftp工具的比较功能进行比对。
4、关键词搜索法,按照我提供的关键词搜索文件,基本可以确定木马。
网友评论
(评论内容只代表网友观点,与本站立场无关!)
相关文章
推荐文章
热门文章
