2:下载数据库和图片文件夹
3:检查图片文件夹中的图片是否有异常文件-->删除异常文件
4:清空网站空间所有文件(前提是有备份的情况下,无备份要全面清查空间所有文件)
5:上传备份文件(更换数据库连接路径后的文件)
6:上传从空间下载的数据库和图片文件夹
至此程序文件中的防删木马和别的病毒文件都不存了
小白们,只知道用杀毒软件是不行的,asp后门又不是EXE病毒先讲下所谓的“僵尸asp”原理:
Windows 下不能够以下面这些字样来命名文件/文件夹:aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
然而在IIS中,这种文件又是可以解析成功的。Webshell中的 "不死僵尸" 原理就在这。
这类文件无法在图形界面删除,只能在命令行下删除:
(假设网站路径在D:\wwwroot下)
D:\wwwroot>del D:\wwwroot\com6.editor_insertfunt.asp
下载者。解决方案如下:1,断网。停止IIS服务,然后用冰刃搞定剩余的所有W3wp.EXE。
2,全盘扫描,查杀所有病毒,建议使用卡巴或者瑞星。
3,检查硬盘中所有ASP文件,这个下载者喜欢感染ASP。
4, 重启到安全模式,再杀一遍,下载者作用是不停下载后门和木马,一次查杀可能会无效,稳妥起见还是两次为好。
5,检查服务器账户,清除非法账户。这里要注意隐藏账户,在lusrmgr.msc里面看,然后和CMD对比下。找到隐藏账户和非法账户。全部搞掉。
6,用冰刃查找有没有内核级后门。
7,修改系统管理员密码。
8,设置好IIS权限,只允许访问网站根目录和其子目录,拒绝浏览非网站目录。
9,如果你使用的su-ftp,注意它的默认密码要修改。
10,去掉上传目录的脚本执行权限。
如果以上方法无效,那建议重装系统。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)