假如你发现你网站已经中招(大部分表现为被人插入iframe代码,首页或者每个页面),可以参照以下办法进行处理:
(相关论坛链接:http://bbs.powereasy.net/dispbbs.asp?boardID=67&ID=304237&page=1)
1、按固顶http://bbs.powereasy.net.cn/dispbbs.asp?boardID=67&ID=304162&page=1
动易最新漏洞公告,删除你的站点下Space文件夹和User/User_Space.asp文件。
2、对比动易所有的asp文件,发现多出来的asp文件,立即下载备份(供分析用)然后从站点中删除!假如是文件大小、日期不一致的,编辑该文件,看是否有不良代码。黑客比较喜欢在conn.asp和config.asp里面放不良代码。假如发现有,先删除,然后上传动易官方最新文件替换。
3、查看所有的JPG,GIF文件名,凡是发现带asp文件名的,立即下载备份(供分析用)然后从站点中删除!
4、以上2、3步骤是检查木马程序文件,完成后,就该检查后台模板了。首先当然是马上修改治理员密码(能动你模板说明就能进你后台了),然后在模板治理中,用查找替换模板的方法,查询你网站页面被插入的那个iframe代码。
5、停止网站所有的上传功能,检查所有会员名,发现带asp的(包括*.asa、*.cdx、*.cer),全部删除(请自行斟酌,为了网站安全,损失点也没办法),同时,在网站选择题那设定禁止注册:asp 这样的会员。
6、假如你网站的数据库使用的是默认的Database/PowerEasy2006.mdb数据库路径和文件名,请立即更改!切记!
7、登陆后台后网页一片空白的处理方法,用对应版本原始的admin文件夹覆盖你的治理目录中的文件,并将目录中多出来的文件删除掉。
以下是:rhongsheng 提供的一个方案:
-------------------
1.修改/inc/checklist.asp文件中的94行,在其中加入Or InStr(iname, ".") > 0 。该代码起到注册是限制注册用户名包含有“.”。或者在其中限制包含"asp"也可以Or InStr(iname, "asp") > 0。可以两者一起限制。经过本人测试,限制之后eval后门执行程序起不了做用。
------------------
以上办法供参考,有更多措施将进一步补充完善。
------------------------------------------------------------------
另外,需要补充一下的是:
1.动易系统内自带的“禁止注册的用户名”中即使加了.asp|asp|限制都依然可以注册,所以为防止出现意外,建议暂时关闭会员注册,或根据以上的临时修改方案暂时解决。 ――版主 天域
2.假如你网站的数据库使用的是默认的Database/PowerEasy2006.mdb数据库路径和文件名,请立即更改!切记!
新闻热点
疑难解答