有時(shí)會(huì )收到一些客戶(hù)反映網(wǎng)站被黑，或被上傳木馬，當用戶(hù)訪(fǎng)問(wèn)網(wǎng)站時(shí)就會(huì )下載病毒或者木馬，殺毒軟件彈出病毒的提示。這種情況是以下2種情況導致的：

      第一種情況：客戶(hù)網(wǎng)站存在文件上傳漏洞，導致黑客可以使用這漏洞，上傳黑客文件。然后黑客可以對該用戶(hù)網(wǎng)站所有文件進(jìn)行任意修改，這種情況比較普遍。針對這種情況， 用戶(hù)需要找技術(shù)人員。檢查出網(wǎng)站漏洞并徹底修復，并檢查看網(wǎng)站是否還有黑客隱藏的惡意文件。

原因：很多網(wǎng)站都需要使用到文件上傳功能，例如很多網(wǎng)站需要發(fā)布產(chǎn)品圖片等。 文件上傳功能本來(lái)應該具有嚴格的限定。例如：只允許用戶(hù)只能上傳JPG，GIF等圖片。但由于程序開(kāi)發(fā)人員考慮不嚴謹，或者直接是調用一些通用的文件上傳組件， 導致沒(méi)對文件上傳進(jìn)行嚴格的檢查。

      處理：處理關(guān)鍵是要用戶(hù)自己知道自己網(wǎng)站哪些地方使用到了文件上傳功能。

      重點(diǎn)針對這個(gè)文件上傳功能進(jìn)行檢查，同時(shí)針對網(wǎng)站所有文件進(jìn)行檢查，排查可疑信息。同時(shí)也利用網(wǎng)站日志，對文件被修改時(shí)間進(jìn)行檢查：

1、查到哪個(gè)文件被加入代碼：用戶(hù)要查看自己網(wǎng)頁(yè)代碼。根據被加入代碼的位置，確定到底是哪個(gè)頁(yè)面被黑，一般黑客會(huì )去修改數據庫連接文件或網(wǎng)站頂部/底部的文件，因為這樣修改后用戶(hù)網(wǎng)站所有頁(yè)面都會(huì )被附加代碼。

2、查到被篡改文件后，使用FTP查看文件最后被修改時(shí)間，例如 FTP里面查看到conn.asp文件被黑，最后修改時(shí)間是2008-05-16 03：41分，那么可以確定在2008年5月16日03：41 分這個(gè)時(shí)間，有黑客使用他留下的黑客后門(mén)，篡改了您的conn.asp這個(gè)文件。

       注意：

1、很多用戶(hù)網(wǎng)站被黑后，只是將被串改的文件修正過(guò)來(lái)，或重新上傳，這樣并沒(méi)有多大作用。如果網(wǎng)站不修復漏洞，黑客可以很快再次利用這漏洞，對用戶(hù)網(wǎng)站再次入侵。

2、網(wǎng)站漏洞的檢查和修復需要一定的技術(shù)人員才能處理。用戶(hù)需要先做好文件的備份。

       第二種情況：用戶(hù)本地機器中毒了，修改了用戶(hù)自己本地的網(wǎng)頁(yè)文件，然后用戶(hù)自己將這些網(wǎng)頁(yè)文件上傳到服務(wù)器空間上。這種情況比較少，如是這種情況用戶(hù)要先徹底檢查自己網(wǎng)站。

1、這種病毒一般是搜索本地磁盤(pán)的文件，在網(wǎng)頁(yè)文件的源代碼中插入一段帶有病毒的代碼，而一般最常見(jiàn)的方式是插入一個(gè)iframe，然后將這個(gè)iframe的src屬性指向到一個(gè)帶有病毒的網(wǎng)址。

2、如何檢測這種情況呢？

a、瀏覽網(wǎng)站，右鍵查看源代碼，在源代碼里搜索iframe，看看有沒(méi)有被插入了一些不是自己網(wǎng)站的頁(yè)面，如果有，一般就是惡意代碼。

b、也是右鍵查看源代碼，搜索“script”這個(gè)關(guān)鍵字，看看有沒(méi)有被插入一些不是自己域名下的的腳本，如果有，并且不是自己放上去的，那很可能也有問(wèn)題。

3、這種病毒怎么殺呢？

a、有些人會(huì )說(shuō)用查毒程序查過(guò)本地沒(méi)有發(fā)現病毒，這就要看看本地的網(wǎng)站文件是否帶有這些惡意代碼，如果有，那基本上可以肯定你的機器是曾經(jīng)中過(guò)毒的，這些病毒可能不是常駐內存的，并且有可能執行一次之后就將自己刪除，所以用查毒程序查不出來(lái)是很正常的。

b、就算這些病毒是常駐內存，殺毒程序也可能查不出來(lái)，因為這種病毒的原理很簡(jiǎn)單，其實(shí)就是執行一下文件磁盤(pán)掃描，找到那些網(wǎng)頁(yè)文件（如：.asp .php .html等格式的文件），然后打開(kāi)它插入一段代碼，然后再保存一下。因為它修改的不是什么系統文件，病毒防火墻一般不會(huì )發(fā)出警告，如果它不是掛在一些系統進(jìn)程里，而是在某個(gè)特定的時(shí)刻運行一下就退出，這樣被查出的可能性更少。

c、手工刪除這些病毒的一般方法：

1）調出任務(wù)管理器，看看有沒(méi)有一些不知名的程序在運行，如果有，用Windows的文件查找功能找到這個(gè)文件，右鍵查看屬性，如果這個(gè)可執行文件的摘要屬性沒(méi)有任何信息，而自己又不知道是什么東西，那很可能有問(wèn)題，然后上google搜索一個(gè)這個(gè)文件的信息，看看網(wǎng)上的資料顯示是不是就是病毒，如果是就先將其改名；

2）打開(kāi)注冊表編輯器，查看一下 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun有沒(méi)有一可疑的啟動(dòng)項，有的話(huà)就刪除；

3）查看本地機器的Windows 控制面板，看看“任務(wù)計劃”那里有沒(méi)有一些不是自己定義的任務(wù)，如果有查看屬性，找到這個(gè)任務(wù)所執行的可執行文件是哪個(gè)，重復前面步驟1）的方法進(jìn)行查殺?？赡苓€有其它一些方法，可以在GOOGLE上搜索下。

4、中毒的常見(jiàn)原因：

一般是因為上了一些垃圾網(wǎng)站，這些網(wǎng)站有木馬，然后機器就中毒了。

如有問(wèn)題，請聯(lián)系新鴻儒：010-51267718

新鴻儒將竭誠為您服務(wù)！

相關(guān)文章導讀：網(wǎng)站不能訪(fǎng)問(wèn)基礎排查