昨天书生的IT学院站又给挂马了。这可真够郁闷的,因为是又一次给挂马,不是第一次了。
本文来自www.itxyz.net
因为昨天晚上有朋友向我反应,打开IT学院站www.itxyz.net时,浏览器提示有木马。我赶紧去盘查,找杀木马。不过也非常感谢站在第一线上一直给别人网站挂马的垃圾人,正因为你一而再再而三的给我的网站挂马,让我找到了一个非常容易的找出木马所在位置的方法。这种方法简单有效,不敢独享,所以写出来和大家一起分享。 本文来自www.itxyz.net
一般给挂马了的网站,用浏览器打开的时候,就会提示该网站被挂马,禁止打开。IE浏览器一般会以右下角弹出小窗口提醒的形式,而谷歌浏览器和360浏览器等,一般会直接禁止访问挂马网站。
本文来自www.itxyz.net
以下以截图的形式来说明这个问题。(我用的是谷歌浏览器)
本文来自www.itxyz.net
本文来自www.itxyz.net
(浏览器打开被挂马网站的提示)
本文来自www.itxyz.net
再打开“请造访 Google 安全浏览诊断页面”,截图如下:
本文来自www.itxyz.net
本文来自www.itxyz.net
(这里会显示木马所在的域) 本文来自www.itxyz.net
接下来就好办了,登陆服务器,打开你网站所在的文件夹,点击搜索,在搜索框输入木马所在域的关键字,比如比如“lovebb” 本文来自www.itxyz.net
(搜索结果,搜出来了)
本文来自www.itxyz.net
到这里,我们会发现,木马挂在了一个JS文件里。特别注明下,网站挂马者一般会挂在JS文件里,当然也不排除挂在别的地方的可能。 本文来自www.itxyz.net
(打开这个JS文件查看) 本文来自www.itxyz.net
打开后发现,貌似很正常。其实从左边不难看出,这个JS文件里不仅仅就这两行代码,在最底下还有。 本文来自www.itxyz.net
本文来自www.itxyz.net
果然存在。
这个告诉我们,如果只是随意查看下,很难发现这些恶意代码。但是如果我们搜索下,就很容易发现了。
到这里,我们查找木马的工程就结束了,把这个JS文件里相关代码删除,重新替换,就可以了。 本文来自www.itxyz.net
当然,最最重要的是,后续工作,服务器设置好相关写入权限,避免网站再次被挂马。
作者信息:书生,IT学院站(www.itxyz.net)站长。新建草根站长交流4群33527887,欢迎加入一起交流。转载请保留,谢谢。
