壹、下載服務器日誌,ftp傳輸日誌。
當發現網站被黑以後,首先要做的就是下載日誌文件,包括服務器日誌和ftp傳輸日誌,服務器的日誌位置壹般是位於C:\WINDOWS \system32\Logfiles\W3SVC1。ftp日誌則取決於妳的服務器所安裝的ftp軟件,比如SERVE-U默認是在安裝目錄下。但是,服務器的各種日誌,壹定要轉移出默認的地方,同時設置壹下刪除保護。對於虛擬主機用戶。壹般妳的空間提供商都會提供3天之內的日誌以及1個月的ftp日誌下載,具體可以咨詢妳的空間提供商。下載日誌這點很重要。它是我們接下去找出漏洞的關鍵。
二、替換所有惡意代碼
進行下載日誌的同時,應該開始刪除惡意代碼,以免影響用戶體驗。如果妳擁有服務器,推薦妳使用findstr,把惡意插入的代碼批量替換掉。如果妳使用虛擬主機,有部分虛擬主機提供批量替換功能。如果妳的虛擬主機沒有提供這樣的功能。這項操作要謹慎點,因為是對內容直接進行替換,稍微壹馬虎可能讓妳的網頁內容面目全非。
三、下載到本地殺毒,或者服務端殺毒
接下來,我們要開始找出入侵的幕後黑後了。記住,發現病毒先不要忙著刪除。如果妳擁有個人服務器,可以開啟殺毒軟看看,如果是使用虛擬主機可以下載到本地,用殺毒軟件殺。發現病毒以後,剛才說的,不要忙著殺掉。查看那個病毒文件的修改時間。這個步驟是最關鍵的。壹般對方不會只留壹個後門,可能會有漏網之魚。這時妳可以搜索剛找到的那個病毒文件的修改時間,檢查這段時間建立或者修改了什麽文件。那些文件都是嫌疑犯,統統記住他們的文件名,註意,這邊沒有讓妳刪除,要先記住文件名!如果對方的木馬很隱秘,找不到,這個時候,妳需要在所有的網頁文件中,查找壹些木馬常用的詞,比如asp木馬,壹般會有這些字符出現在木馬中,比如“木馬”,“免殺”,“w”,“shell”等等字符,有出現這些字符的,可能為對方留下的後門。
四、同時,查找日誌中的敏感詞,如“select”,“and%201=1”,獲得對方ip。獲得對方的木馬的文件名以後,這個時候要用到我們剛才的日誌了來找到對方ip,看對方進行了什麽操作。
五、彌補對方入侵漏洞。
接著,根據日誌的提示,修改頁面,字符串參數過濾單引號,數字參數格式化為數字,同時刪除掉其他的壹些危險的存儲過程。
六、修改ftp密碼,超級管理員密碼,3389登陸端口,用戶名,密碼。
對方如果已經入侵了妳的站點,這些密碼都不再是密碼,因此最保險的做法就是全部改掉。