20160907191954_1736

网站被黑或者是被上传木马是比较常见的,也是用户比较关注的一个问题,因为用户在访问网站的时候会自动下载病毒或者木马,如果有杀毒软件的话,就会有相关的提示,网站被黑或者被上传木马主要有以下两种情况。

1.网站存在文件上传漏洞,黑客会利用这样的漏洞,上传一些黑客文件。上传之后黑客就可以对该网站的所有文件进行任意修改,这种目前比较常见的一种情况。针对这种情况, 只能找专业的技术人员进行检查,检查出网站漏洞并彻底修复,并且将一些黑客上传的隐藏恶意文件给修复。

原因: 很多网站都需要使用到文件上传功能,例如很多网站需要发布产品图片等。 文件上传功能本来应该具有严格的限定。例如:只允许用户只能上传JPG,GIF等图片。但由于程序开发人员考虑不严谨,或者直接是调用一些通用的文件上传组件, 导致没对文件上传进行严格的检查。

处理: 处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能。

重点针对这个文件上传功能进行检查, 同时针对网站所有文件进行检查,排查可疑信息。 同时也利用网站日志,对文件被修改时间进行检查:

(1)查到哪个文件被加入代码: 用户要查看自己网页代码。根据被加入代码的位置,确定到底是哪个页面被黑, 一般黑客会去修改数据库连接文件或网站顶部/底部 文件,因为这样修改后用户网站所有页面都会被附加代码。

(2) 查到被篡改文件后,使用Ftp查看文件最后被修改时间, 例如Ftp里面查看到conn.asp文件被黑,最后修改时间是 2015-12-22 10:34 分, 那么可以确定在 2015-12-22日10:34 分这个时间有黑客使用他留下的黑客后门,篡改了你的conn.asp这个文件。

注意:

(1)很多用户网站被黑后,只是将被串改的文件修正过来。或重新上传, 这样是没多大作用。 如果网站不修复漏洞。黑客可以很快再次利用这漏洞,对用户网站再次入。

(2)网站漏洞的检查和修复需要一定的技术人员才能处理。用户需要先做好文件的备份。

2. 第二种情况是用户的本地机器中毒了。这种情况就会修改用户自己本地的网页文件,用户不知道会把这些文件上传到服务器空间上,这种情况一般不常见。如果是这种原因造成的网站中病毒,需要用户先彻底检查自己网站。

1. 这种病毒一般是搜索本地磁盘的文件,在网页文件的源代码中插入一段带有病毒的代码,而一般最常见的方式是插入一个iframe ,然后将这个iframe的src属性指向到一个带有病毒的网址。

2. 如何检测这种情况呢?

(1)浏览网站,查看网站的源代码,在源代码里搜索iframe ,看看有没有被插入了一些不是自己网站的页面,如果有,一般就是恶意代码。

(2)查看源代码的时候搜索 "script"这个关键字,如果被插入一些不是自己域名下的的脚本,那很可能也是有问题的,这就需要我们进行进一步的检查。

3.这种病毒怎么杀呢?

(1)有些人会用查毒程序检查自己的机器,检查结果显示本地没有病毒,这就要看看本地的网站文件是否带有这些恶意代码,如果有,那基本上可以肯定你的机器是曾经中过毒的,这些病毒可能不是常驻内存的,并且有可能执行一次之后就将自己删除,所以一般用率查毒程序查不出来也是属于正常情况。

(2)就算这些病毒是常驻内存,杀毒程序也可能查不出来,因为这种病毒的原理很简单,其实就是执行一下文件磁盘扫描,找到那些网页文件(如 asp php html)等格式的文件,然后打开它插入一段代码,然后再保存一下。因为它修改的不是什么系统文件,病毒防火墙一般不会发出警告,如果它不是挂在一些系统进程里,而是在某个特定的时刻运行一下就退出,这样被查出的可能性更少。

(3)手工删除这些病毒的一般方法:

a.调出任务管理器,看看有没有一些不知名的程序在运行,如果有,用windows的文件查找功能找到这个文件,右键查看属性,如果这个可执行文件的摘要属性没有任何信息,而自己又不知道是什么东西,那很可能有问题,然后上google搜索一个这个文件的信息,看看网上的资料显示是不是就是病毒,如果是就先将其改名。

b. 打开注册表编辑器,查看一下 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run有没有一可疑的启动项,有的话就删除。

c.查看本地机器的 windows 控制面板,看看“任务计划”那里有没有一些不是自己定义的任务,如果有查看属性,找到这个任务所执行的可执行文件是哪个,重复前面步骤 a 的方法进行查杀。可能还有其它一些方法,可以在GOOGLE上搜索下。

4.中毒的常见原因:

一般是因为访问一些垃圾网站,这些网站本身带的有木马病毒,自己的机器就会中毒。

关注中国IDC圈官方微信:idc-quan或微信号:821496803 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-03-17 16:32:31
国内资讯 第十六次计算机和移动终端病毒疫情调查活动在京启动
为进一步宣传、普及信息网络安全知识,提高广大用户网络安全防范意识,同时给国家有关部门制定网络安全及计算机病毒防治策略提供准确参考,在公安部网络安全保卫局的指导下 <详情>
2017-02-27 10:46:42
云安全 应对“比特币勒索”经验分享
近期,比特币勒索攻击卷土重来,用户在登陆数据库时出现勒索警告信息,被要求上交比特币来换取解锁数据库的服务。这一般是由于用户下载了非官方的pl/sql软件(其中被植入了 <详情>
2016-07-14 10:11:50
云安全 制造病毒攻陷三亿网民,中国黑客18年做了些啥?
1998年7月13日,我国第一例电脑黑客事件被载入历史。如今黑客袭击事件已经整整18周年,互联网上黑客们的身影继续活跃,网民们的网络安全受到不小威胁。18年来中国的黑客发 <详情>
2016-07-12 16:57:44
智能硬件 研究者发明寨卡病毒测试装置 成本仅2美元
宾夕法尼亚州立大学一种成本仅2美元,只需40分钟就能出结果的寨卡病毒测试工具。 <详情>
2016-06-23 11:15:06
互联网 务必警惕这种Android软件 它能秘密获取你手机的Root权限
据Computerworld 网站报道,网络安全研究人员最近在一些貌似合法的应用程序中发现了一种新型恶意软件。这种恶意软件能够秘密获取Android手机的Root权限,然后在手机里安装 <详情>