Tony
2008-01-22, 02:53 PM
早期的ASP木马是能被杀病毒软件正常检测并查杀的,不过随着ASP木马的发展目前很多都处与隐藏状态,一般的杀毒软件已经难已将他们查杀了,这就需要靠我们手工清除。
第一步:一般黑客都会通过更改ASP脚本的启动权限使ASP木马能够以最高权限运行,这就给我们提供了一个查找ASP木马的捷径。我们只要在命令提示符下输入“cd c:\inetpub\adminscripts”, 然后执行“adsutil.vbs get w3svc/inprocessisapiapps”,就能够得到以system权限启动的DLL文件。而在默认情况下,asp.dll是不会出现在其中的,如果出现了asp.dll,那么服务器必定感染了ASP木马。
第二步:根据自己网站的结构从根据目录开始搜索ASP文件,这点需要网络管理员清楚地知道网站文件的分布情况,当在与网页存放目录不相干的目录中搜索到ASP文件时,这个文件肯定就是ASP木马了。
第三步:在“Internet 服务管理器”里面去掉一些用不着的映射(比如*.cer, *.cdx, *.htr 之类的映射),然后在网站跟目录开始搜索*.cer, *.cdx, *.htr 文件,将所有搜索出来的文件都彻底删除掉。
第四步:我们再看看正常文件有没有被写入恶意代码,从网站最初的目录(根目录)开始,在搜索对话框里输入“* asp”,在包含文字中输入“VBS cript.Encode”或“iframe src”之类的关键字后开始搜索,搜索到ASP文件后将相应代码清除掉即可。
第五步:如果检测到了ASP木马,那么在清理完木马之后,就需要尽快做亡羊补牢的工作了。
小提示:没有经验的网络管理员也可以使用一些“ASP 木马追捕”之类的程序或软件来帮助你清除木马病毒。不过现在已经有些黑客通过再次修改ASP木马,致使“ASP 木马追捕”等软件也无法查杀了,所以我们还是应该彻底掌握检测和清除ASP木马的技术。
或者:http://cms.tot.name/cms/tot_asp_scan.htm
第一步:一般黑客都会通过更改ASP脚本的启动权限使ASP木马能够以最高权限运行,这就给我们提供了一个查找ASP木马的捷径。我们只要在命令提示符下输入“cd c:\inetpub\adminscripts”, 然后执行“adsutil.vbs get w3svc/inprocessisapiapps”,就能够得到以system权限启动的DLL文件。而在默认情况下,asp.dll是不会出现在其中的,如果出现了asp.dll,那么服务器必定感染了ASP木马。
第二步:根据自己网站的结构从根据目录开始搜索ASP文件,这点需要网络管理员清楚地知道网站文件的分布情况,当在与网页存放目录不相干的目录中搜索到ASP文件时,这个文件肯定就是ASP木马了。
第三步:在“Internet 服务管理器”里面去掉一些用不着的映射(比如*.cer, *.cdx, *.htr 之类的映射),然后在网站跟目录开始搜索*.cer, *.cdx, *.htr 文件,将所有搜索出来的文件都彻底删除掉。
第四步:我们再看看正常文件有没有被写入恶意代码,从网站最初的目录(根目录)开始,在搜索对话框里输入“* asp”,在包含文字中输入“VBS cript.Encode”或“iframe src”之类的关键字后开始搜索,搜索到ASP文件后将相应代码清除掉即可。
第五步:如果检测到了ASP木马,那么在清理完木马之后,就需要尽快做亡羊补牢的工作了。
小提示:没有经验的网络管理员也可以使用一些“ASP 木马追捕”之类的程序或软件来帮助你清除木马病毒。不过现在已经有些黑客通过再次修改ASP木马,致使“ASP 木马追捕”等软件也无法查杀了,所以我们还是应该彻底掌握检测和清除ASP木马的技术。
或者:http://cms.tot.name/cms/tot_asp_scan.htm