怎么找木马网 站

关于已经中了木马的网站，

相关处理办法，如果你发现你网站已经中招（大部分表现为被人插入iframe代码，首页或者每个页面），可以参照以下办法进行处理：

1、官方网站下载安装最新的安全补丁

2、对比动易所有的文件，发现多出来的文件，立即下载备份（供分析用）然后从站点中删除！如果是文件大小、日期不一致的，编辑该文件，看是否有不良代码。黑客比较喜欢在conn.asp和config.asp里面放不良代码。如果发现有，先删除。最近还发现很多木马代码被插入到了JS文件中，建议直接用动易程序原JS目录覆盖一次网站的JS目录。然后上传动易官方最新文件替换。conn.asp上传后，记得将数据库路径修改正确。

3、查看所有的JPG,GIF文件名，凡是发现带asp文件名的，立即下载备份（供分析用）然后从站点中删除！（黑客比较喜欢在admin/image/......这种地方藏木马，曾经有一位站长的站就被人在这个目录下建立了一个.asp的目录，里面再放一个JPG木马文件。

4、以上2、3步骤是检查木马程序文件，完成后，就该检查后台模板了。首先当然是立刻修改管理员密码（能动你模板说明就能进你后台了），接着查看站内日志是否有非法登陆或者是日志被删除了，然后在模板管理中，用查找替换模板的方法，查询你网站页面被插入的那个iframe代码。

5、停止网站所有的上传功能，检查所有会员名，发现带asp的(包括*.asa、*.cdx、*.cer)，全部删除（请自行斟酌，为了网站安全，损失点也没办法），同时，在网站选择题那设定禁止注册：asp 这样的会员。

6、如果你网站的数据库使用的是默认的Database/PowerEasy2006.mdb数据库路径和文件名，请立即更改！切记！

7、登陆后台后网页一片空白的处理方法，用对应版本原始的admin文件夹覆盖你的管理目录中的文件，并将目录中多出来的文件删除掉。如果后台菜单栏点不开的，请重新上传文件/JS/prototype.js。

8、登陆时提示验证码不正确的，一般表现为验证码多了下划线。请用原始的动易文件覆盖你网站根目录上的images文件夹下面的几个后缀为fix文件，以及/inc/checkcode.asp文件。

9、最好重新生成所有的HTML文件以及所有的JS文件。

10、以上方法都试了还不行，那就备份数据库，然后删除全站，再重新上传。对于我司用户，可以在主机控制面板，设置执行权限中，取消上传目录的ASP执行权限，这样即使上传了木马在上传目录，也无法运行木马程序

1、对于所有脚本文件，只在IIS设置里给予“纯脚本”的执行权限。

2、对于数据库文件，单独设置文件属性中“IUSR_(计算机名)”用户有修改权限。

3、对于主目录，只给予“读取”、“索引资源”、“记录访问”，不能给予“目录浏览”及“写入”权限。

4、主目录设置中，如果你的ASP都在同一个目录下，那就不必开启“父路径”。

5、对于某些要求安全的连接，可以捆绑服务器证书，通过HTTPS来访问。

6、如果你的WEB站点申请了域名，那么在IIS设置里的网络选项卡中IP地址的高级设置中，添加主机头，这样就只能使用域名来登陆WEB，而用的方式是无法登陆的，而且使用主机头可以令多个WEB服务器共用一个80端口。

7、对于某些敏感目录，可单独设置，目录安全性的身份验证，取消匿名浏览，开启“集成WINDOWS身份验证”，这样浏览此目录必须提供一个WINDOWS帐户的登陆名和密码。

8、对于某些ASP等使用数据库的动态网站，记得一定要修改自定义错误里的500.100错误，不然有些时候ASP出错，会把你的数据库地址显示出来。你可以设置这个错误跳转到一个页面，比如广告什么的。

Windows 2000 Server IIS 无法执行ASP的解决办法在分析问题以前，先尝试访问网站中的纯静态网页（以htm或者html为后缀的页面），如果不能正常显示，说明问题本身不在ASP上。

检查IIS的设置，看是否设置了“应用程序设置－执行权限－纯脚本”，“配置－映射”里有asp扩展名。IIS设置检查无误后，再进行后面的步骤。

1、如果网站本身有Global.asa，先把它更名为Global.old，重新启动该网站。用记事本写下代码并保存为test.asp文件，在浏览器中访问。如果能够正常显示，说明问题出在Global.asa文件上。

<%Response.Write "This is a test ASP page."%>

2、设置应用程序保护到“低”，重新启动IISadmin线程，如果这时能够在浏览器中读出ASP页面，说明IWAM帐号存在问题。如果仍旧不能访问ASP页面，检查“管理工具”的“组件服务”，确保你能够看到IIS包。

附：如果遇到组件服务打不开（可能是由于应用程序占满CPU造成），在控制面板的添加与删除，重新添加删除组件服务，然后重新启动计算机。

3、将应用程序保护返回到“中”或“高”，添加IWAM帐户到Administrator组，如果这时候ASP页面能够被浏览，说明IWAM存在一个权限问题。如果ASP仍然不能正常显示，进DOS窗口用命令行的方式运行Synciwam.vbs工具。

C:\Inetpub\adminscripts>cscript synciwam.vbs

4、解决IWAM帐号的权限问题，嗯，这个说起来话长，以后单独发表一篇文章。

5、重新建立IIS packages的方法：

在组件服务中删除下列包

IIS In-Process Applications

IIS Out-of-Process Pooled Applications

IIS Utilities

用DOS窗口键入下列命令重新建立包

%windir%\system32\inetsrv rundll32 wamreg.dll, CreateIISPackage

关掉组件管理器然后重新打开，看到三个新建的包后，重新启动IIS（IISRESET），检测ASP网页是否能够正常浏览。

---