华云数据的云主机安全-网站被挂马后的处理方法

1、确认被挂的代码确认被挂代码的方式倦虺赳式非常简单，这些代码都有共同的HTML标记：**<\script>或者 <\iframe>**。一般向网页文件加入下载木马的代码都在文件的索兼熨旷末尾，语句都是直接调用远程代码文件下载病毒，例如这俩HTML标记里”src“路径都带有“http://”，极少部分挂马者会将下载木马的代码文件直接上传到服务器上。我们略作识别就可以知道哪些文件被挂代码，如：（1）文件中包含，这种看上去莫名其妙代码肯定是被挂在上去的。（2）文件中包含，这类代码有时候可能是用户自己加入的，比如进行pv统计等其他流量统计代码，判断是先新建一个空白htm文件，比如test.htm，将代码拷贝至文件中，通过本地计算机域名访问（请勿直接在服务器上访问），杀毒软件出现病毒提示则已经确定是被卦代码，判断不带“http://”路径的标记是否被挂马的方式也是如此，方法简单有效。（3）同一段代码在同一个文件里面反复出现，如图：（4）所有代码的文件属性中修改时间都完全接近，如图：

2、替换被卦的文件先从服务器上确认用于存放上传文件的目录，一般这类目录里面全部都是图片，或者有一部分被上传上来的木马程序，在iis里面展开站点，右键点击目录，选择属性，打开该文件夹的属性窗口。在“执行许可”窗口里，将脚本执行权限修改成”无”，这样，该目录就不具备脚本执行权限了，里面的所有脚本运行时提示403禁止执行的错误。依次查找该站点的其他上传目录，也可以将所有存放图片的目录都作此修改，预防万一。

3、找出木马目前的木马绝大部分都是asp文件，分为加密和未加密文件，由于木马文件为了能够给控制者提权，是需要读取注册表某些键值，我们只需要在未加密木马文件中查找包含“HKLM\SYSTEM\”关键字的文件绝对都是木马，用户程序是不会去读服务器注册表的。如果文件已经加密，则加密文件中基本上都含有“VBScript.Encode”字符，所以只需要搜索以上两个关键字的文件，能够所处绝大部分木马文件来，搜索方法如下图：

4、关闭上传目录的执行权限一般无组件上传都会特定上传目录，用于存放上传文件。木马需要被上传上来首先就要伪装成图片上传到指定的目录里面，如果我们将该目录在足毂忍珩iis里的脚本执行权限关闭，即设置成”无”脚本执行权限，那么上传的木马即使在服务器上也无法运行，就不会对用户站点或者服务器造成危害，方法如下图：先从服务器上确认用于存放上传文件的目录，一般这类目录里面全部都是图片，或者有一部分被上传上来的木马程序，在iis里面展开站点，右键点击目录，选择属性，打开该文件夹的属性窗口。在“执行许可”窗口里，将脚本执行权限修改成”无”，这样，该目录就不具备脚本执行权限了，里面的所有脚本运行时提示403禁止执行的错误。依次查找该站点的其他上传目录，也可以将所有存放图片的目录都作此修改，预防万一。

5、通知用户修改无组件上传代码漏洞用户站点上存在木马，绝对是由于用户的上传程序存在检测漏洞，请及时更新上传代码，以免遭受不必要的损失。