正好头两天我清理了一个被黑的站点,可以和你分享下经验.
简介:这是个ASP的站点,是承建的公司拿人家现成的代码堆起来的,里面包括论坛,新闻发布,商城,留言本,上传管理,简历管理等等,而每一个功能模块都有一个单独的access数据库.
拿到这份代码的时候,我先给瑞星升级到最新,然后完全查杀这个目录,不过只查到几个病毒(可能是客户自己杀过),其中有一个EXE程序,还有两个压缩包带毒.而这几个文件都在upload目录下,看来这里很可能是病根.
查看图片文件,有些已经打不开了,而有的则只能显示部分画面,应该是被病改写过.(熊猫烧香?)
打开default.asp文件,发现里面有iframe嵌套,看连接的网址不正常,width和height属性都设置成0,不正常,机器打开网站后中毒,应该就是这里的问题。那么下一步的工作就是把这些东西清理出去了。
病毒很狡猾。1、不是每个页面都有iframe;2、iframe插入的位置不固定,有的在前面,有的在后面,而有的则在许多空行后出现(在我用记事本查找的时候,就没发现这种);3、链接的站点不一样,增加了查找的工作量;4、iframe的大小写不一样,如果有的是iframe,有的是IFRAME,有的则是IfRaMe。
站点下面有几千个页面,挨个看肯定不现实,用查找替换是个不错的方法。下面说几种查找替换的方法。
1、windows的搜索功能,选择“所有文件和文件夹”,在第二栏“文件中的一个字或词组”中输入找到的恶意网站地址,再在下面选择站点目录,然后搜索。这个方法能找到“部分”包含恶意代码的文件。这个方法不好的地方就是不能查出全部符合条件的,而且要挨个打开文件进行修改。2、使用Dreameweaver的查找替换功能。利用这个软件可以直接替换掉恶意代码,但也有不足,我的机器是酷睿双核1点几个G的,1G内存,站点下大概有8000+文件,查一会DW会报告内存不足,然后DW就死在那了。3、利用VS。我的版本是VS2005,这个虽然不能去编辑ASP文件(VS对语法要求太严格,改别人写的网页代码,错误提示会把人给烦死)。这个我就不多说了,反正利用这个替换是又快又准。
需要注意的地方:首先通过确认的恶意链接进行替换(不要区分大小写,也不要只在当前文档中查,要查整个目录、站点、项目),包括iframe标签;然后再查找"iframe",这样能够避免不使恶意链接漏掉,也不会误删掉正常的iframe;最后再仔细检查下网站,看病毒有没有以别的方式修改站点。
清理完站点后,修补漏洞也是非常重要的。而我所修改的这个站,光后台管理就有N多个,安全性大幅降低;其次,游客留言时没有“验证码”验证,导至恶意留言,论坛是有,但验证没有采用图片的形式,数字非常容易绕过去。站点留言本在几天之内被插入大量垃圾信息,所记录IP地址是不一样的,看来如果想通过IP是否相同来验证的方法是不合适的。经过清理留言本,以前600+M的站点,变成了现在的40M。
后面需要做的,也是最需要时间的,就是整合数据库,统一登录管理。
