服务器网站被植入病毒代码是什么原因

一般来说，有以下三种原因：

1、虚拟主机网站代码有问题，存在安全漏洞造成的。

如果服务器上大部分用户的网站都正常，只有少量用户网站被黑，那么就很可能是少量用户网站被黑的网站代码有问题，存在安全漏洞造成的。造成这个问题是没有办法解决，也不是服务商的责任。

大家都知道，“虚拟主机提供商”对自己的每个虚拟主机用户都分配了FSO文件操作的权限，他们通过您分配的合法权限，可以任意改动和上传的任何文件。如果用户没有保护好您分配给他们的合法权限，令黑客有机可乘，那么，黑客就可以利用合法权限对网站进行破坏了，但是大部分用户都认为这个黑客入侵不是他自己造成的，是服务商造成的，这实际上是冤枉了服务商。例如，用户使用了一些不安全的程序（如“动网论坛”），这些程序的代码设计本身存在漏洞，很容易被黑客利用来上传网页木马，黑客可以操纵网页木马，利用合法权限来破坏您用户的数据和改动网页的文件，甚至导致网站完全打不开。这些手法是最常见的“客户的网站代码有问题，存在安全漏洞造成的”。

2、是服务器被入侵导致的。

当服务器上所有网站都被植入了病毒代码，并且可以在源文件的尾部或头部找到病毒代码文件，或者在IIS里面被植入了添加脚本，就标明是由于服务器被入侵导致的。

3、是服务器所在的机房中了ARP病毒导致的。

当服务器上所有网站都被植入了病毒代码，并且在源文件的尾部或头部无法找到病毒代码文件，就表明服务器所在的机房中了ARP病毒。这时需要联系我们来解决，一般情况下，机房会有大量服务器中毒，会有很多客户向机房反应，一般在半小时内机房就会处理的。

服务器/VPS解决办法：如装antiarp,金山ARP

首先这有可能是局域网中别人的电脑中毒造成的，它会伪装成另外一个IP地址攻击别人，也就是说你的IP地址被病毒利用了，你先下个ARP防火墙，在华军，太平洋，多特等下载站都有，估计会起到一些作用，如果发现你的电脑一直再被攻击那说明是别人的原因，挨个排查 找出中毒的机器。自己也要彻底杀一遍毒。

你好，本文以Centos系统为例讲述一下如何检查Linux系统是否中毒，中毒有哪些特征以及中毒会带来什么样的后果，如何保障linux系统的安全。http://zhidao.baidu.com/link?url=ObJg8BfsHJoH_kCEIXyCisItbwr0m0TymxQGZ0Yff74oAnVudJ1AEZEQtSmOfe_nvSPTuHsr_GMBPdGdem3AxYCmdk7FZ7EVf2qJiVWn7yS

中毒现象

1.  网络出现拥塞，访问延迟增加。2.  系统定时任务表中出现异常的定时任务。3.  出现异常进程。4.   $JBOSS_HOME/bin或/root目录下出现大量的异常文件。现象分析这是最近网上流行的一种蠕虫病毒，它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击，感染linux服务器，成为僵尸代理。1.  出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包，占用网络带宽。2.   在系统定时任务表中可查看到名为如下的异常定时任务（有时候只有其中2个）。crontab –l

.sysync.pl与.sysdbs都是隐藏文件，可以通过ls –la列表查看到。

3.  查看进程，可以检查到以下异常进程

有些服务器上还可以看到一些javas的异常进程，请确认这些javas进程，是否应用程序调用的java。4.       在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件

其中kisses.tar.gz就是病毒源码安装包，安装后生成以上文件。解决方法步一：查杀病毒Killall -9 javasKillall -9 pnsKillall -9 perlcd /root　或  cd $JBOSS_HOME/binrm –rf bm*rm –rf *.plrm –rf treat.shrm –rf install-shrm –rf version*rm –rf kisses*rm –rf pns*rm –rf Makefilerm –rf ipsortrm –rf kisses*rm –rf .sysdbsrm –rf .sysync.plcrontab –e1 1 10 * * ~/.sysdbs1 1 24 * * perl ~/.sysync.pl1 1 24 * * perl ~/.sysync.pl1 1 10 * * ~/.sysdbs删除掉这几行service crond stop

腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

---