很多木馬都是通過得到WEBSHELL權(quán)限來給您的網(wǎng)站搞破壞的,假如拿到這個(gè)WEBSHELL權(quán)限,假如您的服務(wù)器的用戶權(quán)限設(shè)置不好的話,那就等于黑客擁有了您這臺(tái)服務(wù)器。這個(gè)WEBSHELL權(quán)限是比較大的權(quán)限。
黑客手段:首先,我們先了解了一下黑客的手段,通常的情況下,黑客都是利用一個(gè)文件來掌管您的所有文件的。這是文件的一張截圖。
我這里說的是一般黑客,也是大部分用戶出現(xiàn)的問題。下面我會(huì)講到利用這個(gè)文件來查木馬,一般的木馬還是可以查出來的。
這里我提供下載,注:請(qǐng)勿用于非法用途,否則后果作者概不負(fù)責(zé)!
---->> 文件下載 密碼為:123123
一、木馬處理
1.刪除木馬
查看木馬--->確認(rèn)木馬-->刪除木馬
(1)查木馬:怎樣查呢?我們就用他們的工具來查,我們“以毒攻毒”吧。呵呵~~大家看上面的左側(cè),是不是有一個(gè)“查找木馬”的功能,點(diǎn)擊后出現(xiàn):
如圖(紅色框):
這里就有一個(gè)查木馬的功能了,然后我們點(diǎn)“開始掃描”。
注重:大家這里注重下,假如您的文件較多或者較大,就會(huì)出現(xiàn)錯(cuò)誤,一般是數(shù)據(jù)庫引起。解決方法就是先把您的數(shù)據(jù)庫先剪切出來,一般數(shù)據(jù)庫在“Database”目錄下,然后再點(diǎn)“開始掃描”,這里會(huì)比較慢,請(qǐng)耐性等待。
(2)認(rèn)木馬
掃描后,到底有怎樣才能確認(rèn)它是木馬文件呢,下面我講解下。
掃描出來后,可以看到大概的圖片,如圖:
這里大家注重一下紅色的提示。
一般提示為“似乎腳本被加密了”“危險(xiǎn)組件,一般被ASP木馬利用”都是木馬文件,但是,也有例外的。提示“似乎腳本被加密了”是因?yàn)橐话隳抉R文件會(huì)加密后是上傳,但是,假如他沒有加密,一般就提示為“危險(xiǎn)組件,一般被ASP木馬利用”,注重了,這里面顯示的所有文件建議建議都和原文件對(duì)比下,看看是不是木馬程序。
(3)刪除木馬:當(dāng)然,知道了是木馬程序還不趕緊刪除,或者下回來自己研究研究下。呵呵~~不要忘記把自己上傳的木馬文件都一起刪除哦!
這是查木馬的其中一種方法,還有另一種方法就是文件對(duì)比方法。
上面為方法一,下面的作為方法二:
利用“Beyond Compare”軟件對(duì)文件進(jìn)行一一對(duì)比,不相同的當(dāng)然一看就知道了。
