网站如何清理木马

　　对于网站安全运维人员来说，面对最多的应该就是时不时网站就会被入侵挂上木马程序，特别是一些不注重安全防护的网站及服务器，这种现象就更是常见了，这里就为大家稍微讲解一下网站如何清理木马。

网站如何清理木马

　　第一打开网站首页 一般是index.asp 、index.php、index.html，index.aspx.一般常见在于这个几个文件当中，把挂马的代码删除。2，打开服务器确认服务器是否安全，或者是中了病毒等情况，先将网站所在的文件夹权限更改至最低，即只保留读写权限，其他权限暂时都不要选(如果自己无法更改请联系空间商)，现在你正在处理问题，只要能正常访问就可以了。更改了文件夹权限以后，黑客即使留了后门也无法再次篡改你的页面了，这也就防止了你老问题没解决就出现了新的问题。

　　运用第三方安全软件进行扫描，看看有没隐藏的木马文件和漏洞，如果有的话要及时更新补丁漏洞，

　　做好上面2个安全措施以后，请检查自己的账号密码是否过于简单，这里的账号密码包括空间FTP、网站后台以及数据库等任何涉及安全的账号密码，切忌直接将域名直接或间接的作为账号与密码，最好可以大小写组合，过于简单容易被破解的请立即更改。帐号密码调整好以后再检查网站的管理后台目录是否是默认的。

　　所以在网站维护过程中，要做好定期检查工作，出现异常问题，要及时解决，网站数据做好本地备份以免发生不测。

　　对于不懂技术的朋友，可以下载网站安全狗这款网站安全软件，这款软件除了能够对网站的木马进行查询和清除以外，还能帮助用户修复网站漏洞，并且能够对网站进行24小时的监控防御，保护网站的日志和流量，避免被黑客入侵对网站造成破坏。

　　网站安全狗免费下载地址，免费使用：http://free.safedog.cn/website_safedog.html

　　强力拦截各类

　　注入、跨站、漏洞、应用风险

　　强力拦截SQL注入、XSS跨站、struts2漏洞、建站程序漏洞、0day漏洞、短文件名漏洞、IIS目录漏洞、主动拦截网马上传、带马页面浏览、恶意代码调用组件。

　　精确查杀各类

　　网马、挂马、黑链与畸形文件

　　本地网马引擎与云端网马引擎结合，精确查杀各类网马、挂马、黑链与畸形文件。智能化查杀，精准、快速、资源耗用小、彻底有效清除后门隐患。

　　有效拦截非法攻击请求

　　降低流量攻击伤害

　　智能验证模式有效拦截非法网站攻击请求，降低因流量攻击对网站、服务器带来的伤害。

　　防盗链、特定资源保护

　　有效保护网站资源

　　禁止网站图片、视频文件等资源非法盗链，禁止网站数据库等敏感文件非法下载，有效保护网站重要文件资源。

　　云网络实现

　　网站静态资源全国访问

　　加速

　　对网站图片、CSS、JS静态资源提供全国访问加速，秒级智能云调度系统，瞬时将您的网站资源快速推送到所有访问用户眼前。

　　网站如何清理木马，下面就讲讲我的正常清理木马方法：

　　第一步：查看页面被修改的迹象，主要是查看时间，挂马经常都会挂首页，首页文件index.html，用ie打开网页，点击“查看”菜单，选择“隐私报告”选项，就可以查看到详细的连接地址。这里我解释一下，除了直接跳转之外的木马，都可以从这里得到木马连接地址;

　　第二步：复制第一步得到的木马连接页面地址，然后到网站根目录开始按照相关字眼进行搜查。但是这一招未必能管用，因为有些东西不是像你看到的那么简单的字符串，是写在js里面的，包含有很多的转义字符。查得到就删除，查不到就进入第三步;

　　第三步：查看网站的js文件，这个只能手动一个个js打开来检查了，查到木马代码，删除即可;

　　第四步：一般这样轻量级的木马代码，清理完了后是不是就结束了呢?那么明天是不是又被挂马呢?答案是肯定的，因为你没从根源处理问题。我的常规做法是通过星外客户端关闭网站的写入权限，如果没有星外，其他的也一样，关闭写入权限还是能起到很大作用的。

　　第五步：寻找后门程序，一般挂马都是有一个后门程序的，它是通过网站的漏洞，写的另外一个文件到你网站目录去的，一般都是脚本文件。这个就比较难找了，需要有一定技术基础的人才能分辨出那个是后门程序，如果不懂程序，根本就无法分辨那个是脚本程序了。不过在第四步，你已经关闭了写入权限，所以即使没删除后门程序，也无大碍，基本上可以杜绝部分木马了。

　　上面的方法只是杜绝部分木马，还有更强的木马植入方法，就算你删除后门程序，关闭写入权限，一样可以挂马，就算你把所有脚本都删除了，只剩下静态的html文件，对方一样可以挂马。听起来是不是很吓人?是不是有点晕?其实我这篇文章，这里才是要说的重点，我刚开始也很晕，根本不知道是为什么。

　　在我删除了后门脚本，关闭了写入权限，后来甚至删除了所有的asp脚本，第二天依然被挂马!接下来我能做什么呢?没办法的情况下，我研究起了系统的事件查看器。

　　第一步：查看木马后门文件的写入时间，例如是2月6日11：15，找到应用程序日志的6日11点左右的事件记录;

　　第二步：发现有一个事件是通过mssql数据库权限，写入到目录的后门程序，内容如下：

　　18270:

　　数据库差异更改已备份: 数据库: 2144ladb，创建日期(时间): 2010/02/02(00:25:13)，转储的页: 118，第一个 LSN: 408:27203:1，最后一个 LSN: 408:27208:1，完全备份的 LSN: 408:27174:3，转储设备的数目: 1，设备信息: (FILE=1, TYPE=DISK: {'e:\host\xxxxxx\web\ri.asp'})。

　　解释一下：这个ri.asp就是后门脚本之一。从这里基本上可以找到根源了，跟数据库有关，但是我还不清楚是怎么回事。

　　第三步：打开数据库企业管理器，进入网站对应的数据库，在库的用户里面发现多了一个陌生账号，并且多了一个陌生的数据库表格，表名称是D99_TMP。我之前都没遇到过，只是听说有SQL注入这么一攻击方法，通过搜索D99_TMP表名称，才发现原来这个表是某SQL注入工具默认自增表。既然知道是SQL注入攻击，那接下来就好办了，网上找一下，都有相应的方法清理和解决。

　　当然这两天都不会被挂马了，之前是今天清理，明天早上一上班就被挂了，我这里的解决方法是：

　　MSSQL数据库存在几个危险的扩展存储过程，默认Public组可执行权限，SQL注入者可利用此读取文件目录及用户组，并可通过先写入数据库然后导出为文件的方法往服务器写入危险脚本进一步提权，或直接使用某些存储过程执行命令，如xp_cmdshell。这些存储过程如下：

　　sp_makewebtask

　　xp_cmdshell

　　xp_dirtree

　　xp_fileexist

　　xp_terminate_process

　　sp_oamethod

　　sp_oacreate

　　xp_regaddmultistring

　　xp_regdeletekey

　　xp_regdeletevalue

　　xp_regenumkeys

　　xp_regenumvalues

　　sp_add_job

　　sp_addtask

　　xp_regread

　　xp_regwrite

　　xp_readwebtask

　　xp_makewebtask

　　xp_regremovemultistring

　　对应措施：删除上述存储过程或可执行文件或修改存储过程相应用户组可执行权限，删除上述存储过程对应脚本为：

　　drop PROCEDURE sp_makewebtask

　　exec master..sp_dropextendedproc xp_cmdshell

　　exec master..sp_dropextendedproc xp_dirtree

　　exec master..sp_dropextendedproc xp_fileexist

　　exec master..sp_dropextendedproc xp_terminate_process

　　exec master..sp_dropextendedproc sp_oamethod

　　exec master..sp_dropextendedproc sp_oacreate

　　exec master..sp_dropextendedproc xp_regaddmultistring

　　exec master..sp_dropextendedproc xp_regdeletekey

　　exec master..sp_dropextendedproc xp_regdeletevalue

　　exec master..sp_dropextendedproc xp_regenumkeys

　　exec master..sp_dropextendedproc xp_regenumvalues

　　exec master..sp_dropextendedproc sp_add_job

　　exec master..sp_dropextendedproc sp_addtask

　　exec master..sp_dropextendedproc xp_regread

　　exec master..sp_dropextendedproc xp_regwrite

　　exec master..sp_dropextendedproc xp_readwebtask

　　exec master..sp_dropextendedproc xp_makewebtask

　　exec master..sp_dropextendedproc xp_regremovemultistring

　　数据库中如发现D99_TMP数据表，请先通知网站管理员修补sql注入漏洞，该表为某SQL注入工具默认自增表，内容为C盘目录下全部文件及文件夹名称，服务器网管应检查xp_dirtree扩展存储过程权限，设置为public组不可读即可防止恶意访客读取本地文件信息，或删除xp_dirtree存储过程或删除xpstar.dll文件，该文件位于sql安装目录下。

　　对于不懂网站如何清理木马的朋友，可以自己尝试着按照上面介绍的方法来修复自己的网站和服务器，如果您在这方面并不擅长，也可以向安全狗公司咨询，我们会为您提供技术指导，甚至是安排专业的工作人员为您提供专业的解决方案。