网站中毒被挂木马了怎么办
近期病毒木马猖狂,不少网站都陆续“中招”。看到自己辛苦经营的网站被挂上乱七八糟的病毒木马,很多朋友都不知道怎么办好。“中毒”网站其实被人在网页里挂了段代码,也就是大家说的被挂马,看里面的代码性质不同可分为“商业性挂马”、“恶意性挂马”、“破坏性挂马”等。
商业性挂马一般是在你网站源码里写入隐藏链接啊,用来刷流量和PR值实现搜索排名;恶意性挂马一般是竞争对手对于商业竞争的非法手段,以此铲除异己,表现为放上非法的信息啊,违法的链接啊,已被各查毒软件列为黑名单的网站地址啊等;破坏性挂马则是在你网站里放入可破坏性的代码,比如浏览过你网站的人电脑出现缓慢、老跳出乱七八糟的网站页面、甚至删除硬盘的文件,或者是死循环代码导致你电脑瘫痪等等,危害盛大。
那么面对被挂了马的网站该怎么办呢?首先,备份所有网站数据,如果你之前有备份更好。
别怕,俗话说“以毒攻毒”,我们先下载一个网页木马,其实也就是一个代码文件,并非电脑病毒类的,不具有破坏性。看你网站是用什么语言写的,如果是ASP则下载一个ASP木马,如果是PHP则下载一个PHP木马,网上很多,可搜索下。
然后把下载的木马利用FTP传到空间根目录,然后访问这个木马文件,没有伤害性的,不用担心,比如http://www.studstu.com/你上传的木马文件名;然后一般都需要输入密码(密码可在文件源码中找,一般在头部,用记事本打开即可看到)。
这时就可详细看到各种功能链接了,看到了吧,那些黑客就是通过它们进行各种操作的,但我们其他的功能不用理会,只需要找到一个批量清马的链接,如果没就找找相关意思的,比如批量清除代码啊,批量清除木马啊等等。
然后你访问挂马的网页,查看原代码,复制木马的代码到批量清马的木马代码框中,(如何找木马代码?木马代码一般特征:在挂了木马的网页中点右键查看源代码,如果看到类似的<script src="木马地址"></script>、<iframe src="木马地址"></iframe>等等这些,并且那些木马地址可疑的基本就是了),然后点确定清除。有些是挂了隐藏链接的,批量清除操作类似。需要注意一点的就是你要查看你用的数据库是不是ACCESS,并且数据库后缀名是.asp或.asa或.php的,如果是那你最改下数据库后缀,比如先改成.mdb的,因为执行批量操作时可能会包括数据在内的也会对其进行修改,这样修改了的话很多站是无法访问的,因为数据库可能破坏了。
最后一步,点批量查马(类似的是批量查找木马,批量找马等),确定后会自动列出可疑的文件,并用红色字标明,如果你看到描述是加密的可疑文件,那十之八九就是木马后台了,删除这个文件即可。
切记,操作前先备份数据。否则一旦破坏将不可恢复。
还有一个针对中毒被挂木马网站的解决办法,就是进FTP空间把里面所有的文件都删了,然后重新上传你之前备份未挂马时的网站文件,然后叫制作网站的人赶紧修复漏洞,或者联系空间商暂时关闭你网站的写入权限,如果你暂时不更新内容的话。