网络安全 频道

解析网页后门和挂马

    四、网页木马的防御和清除
    1、防御网页木马,服务器设置非常重要,反注册、卸载危险组件:(网页后门木马调用的组件)

    (1)卸载wscript.shell对象,在cmd先或者直接运行:
    regsvr32 /u %windir%\system32\WSHom.Ocx

    (2)卸载FSO对象,在cmd下或者直接运行:
    regsvr32.exe /u %windir%\system32\scrrun.dll

    (3)卸载stream对象,在cmd下或者直接运行:
    regsvr32.exe /u /s "C:\Program Files\Common Files\System\ado\msado15.dll"

    注:如果想恢复的话只需重新注册即可,例如:regsvr32 %windir%\system32\WSHom.Ocx

    2、清理网页挂马
    (1)利用雷客图ASP站长安全助手查找所有在2008-3.1日-2008.3.5日之间所有修改过的文件里是否有iframe语句和http://www.xxx.com/a.htm关键词,进行手工清理。

    (2)也可利用雷客图ASP站长安全助手批量删除网马。

    (3)检测JS文件,在2008-3.1日-2008.3.5日之间增加的JS文件全部删除。(图9)

    从分析报告可以看到网站的admin路径下发现lb.asp网页木马,经分析为老兵的网页木马。(加密后依旧能通过特征码分辨,推荐网站管理员使用雷客ASP站长安全助手,经常检测网站是否被非法修改。)

    提示:雷客图ASP站长安全助手可以帮助站长分析网站的安全状况,但是一定要更改它的默认用户名和密码。

0
相关文章