站長(zhǎng)如何清理網(wǎng)站木馬經(jīng)驗(yàn)之談

時(shí)間：2022-07-18 17:45:02 | 來(lái)源：建站知識(shí)

時(shí)間：2022-07-18 17:45:02 來(lái)源：建站知識(shí)

作為一名站長(zhǎng)，技術(shù)當(dāng)然是有限的，甚至很多站長(zhǎng)根本就不懂什么技術(shù)。這個(gè)對(duì)于那些木馬攻擊者來(lái)說(shuō)甚是高興，等你辛辛苦苦把流量做起來(lái)后，在你網(wǎng)站上掛個(gè)馬，輕松獲得流量，相當(dāng)可惡。

前段時(shí)間偶的小游戲網(wǎng)站關(guān)鍵字做的還不錯(cuò)，幾個(gè)月之后流量上到了7千多，相關(guān)關(guān)鍵詞排名很高。但是突然間來(lái)了位不速之客，在我網(wǎng)站上掛了木馬，一打開(kāi)頁(yè)面就自動(dòng)跳轉(zhuǎn)到對(duì)方的網(wǎng)站，他也是個(gè)小游戲網(wǎng)站。就這樣輕松的把我的流量都轉(zhuǎn)到他網(wǎng)站上去了。當(dāng)然我第一時(shí)間發(fā)現(xiàn)了，自然是像以前一樣清理掉它。

下面就講講我的正常清理木馬方法：

第一步：查看頁(yè)面被修改的跡象，主要是查看時(shí)間，掛馬經(jīng)常都會(huì)掛首頁(yè)，首頁(yè)文件index.html，用ie打開(kāi)網(wǎng)頁(yè)，點(diǎn)擊“查看”菜單，選擇“隱私報(bào)告”選項(xiàng)，就可以查看到詳細(xì)的連接地址。這里我解釋一下，除了直接跳轉(zhuǎn)之外的木馬，都可以從這里得到木馬連接地址;

第二步：復(fù)制第一步得到的木馬連接頁(yè)面地址，然后到網(wǎng)站根目錄開(kāi)始按照相關(guān)字眼進(jìn)行搜查。但是這一招未必能管用，因?yàn)橛行〇|西不是像你看到的那么簡(jiǎn)單的字符串，是寫(xiě)在js里面的，包含有很多的轉(zhuǎn)義字符。查得到就刪除，查不到就進(jìn)入第三步;

第三步：查看網(wǎng)站的js文件，這個(gè)只能手動(dòng)一個(gè)個(gè)js打開(kāi)來(lái)檢查了，查到木馬代碼，刪除即可;

第四步：一般這樣輕量級(jí)的木馬代碼，清理完了后是不是就結(jié)束了呢?那么明天是不是又被掛馬呢?答案是肯定的，因?yàn)槟銢](méi)從根源處理問(wèn)題。我的常規(guī)做法是通過(guò)星外客戶(hù)端關(guān)閉網(wǎng)站的寫(xiě)入權(quán)限，如果沒(méi)有星外，其他的也一樣，關(guān)閉寫(xiě)入權(quán)限還是能起到很大作用的。

第五步：尋找后門(mén)程序，一般掛馬都是有一個(gè)后門(mén)程序的，它是通過(guò)網(wǎng)站的漏洞，寫(xiě)的另外一個(gè)文件到你網(wǎng)站目錄去的，一般都是腳本文件。這個(gè)就比較難找了，需要有一定技術(shù)基礎(chǔ)的人才能分辨出那個(gè)是后門(mén)程序，如果不懂程序，根本就無(wú)法分辨那個(gè)是腳本程序了。不過(guò)在第四步，你已經(jīng)關(guān)閉了寫(xiě)入權(quán)限，所以即使沒(méi)刪除后門(mén)程序，也無(wú)大礙，基本上可以杜絕部分木馬了。

上面的方法只是杜絕部分木馬，還有更強(qiáng)的木馬植入方法，就算你刪除后門(mén)程序，關(guān)閉寫(xiě)入權(quán)限，一樣可以?huà)祚R，就算你把所有腳本都刪除了，只剩下靜態(tài)的html文件，對(duì)方一樣可以?huà)祚R。聽(tīng)起來(lái)是不是很?chē)樔?是不是有點(diǎn)暈?其實(shí)我這篇文章，這里才是要說(shuō)的重點(diǎn)，我剛開(kāi)始也很暈，根本不知道是為什么。

在我刪除了后門(mén)腳本，關(guān)閉了寫(xiě)入權(quán)限，后來(lái)甚至刪除了所有的asp腳本，第二天依然被掛馬!接下來(lái)我能做什么呢?沒(méi)辦法的情況下，我研究起了系統(tǒng)的事件查看器。

第一步：查看木馬后門(mén)文件的寫(xiě)入時(shí)間，例如是2月6日11：15，找到應(yīng)用程序日志的6日11點(diǎn)左右的事件記錄;

第二步：發(fā)現(xiàn)有一個(gè)事件是通過(guò)mssql數(shù)據(jù)庫(kù)權(quán)限，寫(xiě)入到目錄的后門(mén)程序，內(nèi)容如下：

18270:

數(shù)據(jù)庫(kù)差異更改已備份: 數(shù)據(jù)庫(kù): 2144ladb，創(chuàng)建日期(時(shí)間): 2010/02/02(00:25:13)，轉(zhuǎn)儲(chǔ)的頁(yè): 118，第一個(gè) LSN: 408:27203:1，最后一個(gè) LSN: 408:27208:1，完全備份的 LSN: 408:27174:3，轉(zhuǎn)儲(chǔ)設(shè)備的數(shù)目: 1，設(shè)備信息: (FILE=1, TYPE=DISK: {'e:/host/xxxxxx/web/ri.asp'})。

解釋一下：這個(gè)ri.asp就是后門(mén)腳本之一。從這里基本上可以找到根源了，跟數(shù)據(jù)庫(kù)有關(guān)，但是我還不清楚是怎么回事。

第三步：打開(kāi)數(shù)據(jù)庫(kù)企業(yè)管理器，進(jìn)入網(wǎng)站對(duì)應(yīng)的數(shù)據(jù)庫(kù)，在庫(kù)的用戶(hù)里面發(fā)現(xiàn)多了一個(gè)陌生賬號(hào)，并且多了一個(gè)陌生的數(shù)據(jù)庫(kù)表格，表名稱(chēng)是D99_TMP。我之前都沒(méi)遇到過(guò)，只是聽(tīng)說(shuō)有SQL注入這么一攻擊方法，通過(guò)搜索D99_TMP表名稱(chēng)，才發(fā)現(xiàn)原來(lái)這個(gè)表是某SQL注入工具默認(rèn)自增表。既然知道是SQL注入攻擊，那接下來(lái)就好辦了，網(wǎng)上找一下，都有相應(yīng)的方法清理和解決。

當(dāng)然這兩天都不會(huì)被掛馬了，之前是今天清理，明天早上一上班就被掛了，我這里的解決方法是：

MSSQL數(shù)據(jù)庫(kù)存在幾個(gè)危險(xiǎn)的擴(kuò)展存儲(chǔ)過(guò)程，默認(rèn)Public組可執(zhí)行權(quán)限，SQL注入者可利用此讀取文件目錄及用戶(hù)組，并可通過(guò)先寫(xiě)入數(shù)據(jù)庫(kù)然后導(dǎo)出為文件的方法往服務(wù)器寫(xiě)入危險(xiǎn)腳本進(jìn)一步提權(quán)，或直接使用某些存儲(chǔ)過(guò)程執(zhí)行命令，如xp_cmdshell。這些存儲(chǔ)過(guò)程如下：

sp_makewebtask

xp_cmdshell

xp_dirtree

xp_fileexist

xp_terminate_process

sp_oamethod

sp_oacreate

xp_regaddmultistring

xp_regdeletekey

xp_regdeletevalue

xp_regenumkeys

xp_regenumvalues

sp_add_job

sp_addtask

xp_regread

xp_regwrite

xp_readwebtask

xp_makewebtask

xp_regremovemultistring

對(duì)應(yīng)措施：刪除上述存儲(chǔ)過(guò)程或可執(zhí)行文件或修改存儲(chǔ)過(guò)程相應(yīng)用戶(hù)組可執(zhí)行權(quán)限，刪除上述存儲(chǔ)過(guò)程對(duì)應(yīng)腳本為：

drop PROCEDURE sp_makewebtask

exec master..sp_dropextendedproc xp_cmdshell

exec master..sp_dropextendedproc xp_dirtree

exec master..sp_dropextendedproc xp_fileexist

exec master..sp_dropextendedproc xp_terminate_process

exec master..sp_dropextendedproc sp_oamethod

exec master..sp_dropextendedproc sp_oacreate

exec master..sp_dropextendedproc xp_regaddmultistring

exec master..sp_dropextendedproc xp_regdeletekey

exec master..sp_dropextendedproc xp_regdeletevalue

exec master..sp_dropextendedproc xp_regenumkeys

exec master..sp_dropextendedproc xp_regenumvalues

exec master..sp_dropextendedproc sp_add_job

exec master..sp_dropextendedproc sp_addtask

exec master..sp_dropextendedproc xp_regread

exec master..sp_dropextendedproc xp_regwrite

exec master..sp_dropextendedproc xp_readwebtask

exec master..sp_dropextendedproc xp_makewebtask

exec master..sp_dropextendedproc xp_regremovemultistring

數(shù)據(jù)庫(kù)中如發(fā)現(xiàn)D99_TMP數(shù)據(jù)表，請(qǐng)先通知網(wǎng)站管理員修補(bǔ)sql注入漏洞，該表為某SQL注入工具默認(rèn)自增表，內(nèi)容為C盤(pán)目錄下全部文件及文件夾名稱(chēng)，服務(wù)器網(wǎng)管應(yīng)檢查xp_dirtree擴(kuò)展存儲(chǔ)過(guò)程權(quán)限，設(shè)置為public組不可讀即可防止惡意訪(fǎng)客讀取本地文件信息，或刪除xp_dirtree存儲(chǔ)過(guò)程或刪除xpstar.dll文件，該文件位于sql安裝目錄下。

本文原創(chuàng)來(lái)自www.shouji263.com站長(zhǎng)