网站攻击处理

全球服务器

很多朋友都曾经遇到过网站被黑或者插入恶意代码的经历。根据一些案例以及经验写了一份文档，希望对大家有所帮助：  
一、下载服务器日志，ftp传输日志。
当发现网站被黑以后，首先要做的就是下载日志文件，包括服务器日志和ftp传输日志,服务器的日志位置一般是位于C:\WINDOWS \system32\Logfiles\W3SVC1。ftp日志则取决于你的服务器所安装的ftp软件。但是，这边提醒一点，既然你今天看到这篇文章，服务器的各种日志，一定要转移出默认的地方，同时设置一下删除保护。
二、替换所有恶意代码
进行下载日志的同时，应该开始删除恶意代码。如果你拥有服务器，把恶意插入的代码批量替换掉。如果你使用虚拟主机，有部分虚拟主机提供批量替换功能。这项操作要谨慎点，因为是对内容直接进行替换，稍微一马虎可能让你的网页内容面目全非。
三、下载到本地杀毒，或者服务端杀毒
接下来，我们要开始找出入侵的幕后黑后了。记住，发现病毒先不要忙着删除。如果你拥有个人服务器，可以开启杀毒软看看，如果是使用虚拟主机可以下载到本地，用杀毒软件杀，或者用我刚才说的那个ASP站长安全助手。发现病毒以后，刚才说的，不要忙着杀掉。查看那个病毒文件的修改时间。这个步骤是最关键的。一般对方不会只留一个后门，可能会有漏网之鱼。这时你可以搜索刚找到的那个病毒文件的修改时间，检查这段时间建立或者修改了什么文件。那些文件都是嫌疑犯，统统记住他们的文件名，注意，这边没有让你删除，要先记住文件名！
这边要提到一种情况，对方的木马很隐秘，找不到，这个时候，你需要在所有的网页文件中，查找一些木马常用的词，比如asp木马，一般会有这些字符出现在木马中，比如“木马”，“免杀”，“w”，“shell”等等字符，有出现这些字符的，可能为对方留下的后门 。
四、同时，查找日志中的敏感词，如“select”，“and%201=1”，获得对方ip
获得对方的木马的文件名以后，这个时候要用到我们刚才的日志了来找到对方ip，看对方进行了什么操作。以某次反入侵经历例，通过查找特征字符，发现对方使用swz.asp这个木马文件作为后门。于是在日志中搜索swz.asp，发现对方入侵的ip，当然，如果你在上一个步骤没有找到木马，也可以通过查找““select”，“and%201=1”，这样一些入侵的蛛丝马迹，获得对方ip为xx.xx.xx.xx

五、在日志中查找该ip，了解对方入侵的过程。

六、弥补对方入侵漏洞。
接着，根据日志的提示，修改123.asp页面，字符串参数过滤单引号，数字参数格式化为数字类型。在查询分析器中删除掉它，同时删除掉其他的一些危险的存储过程。
七、修改ftp密码，超级管理员密码，3389登陆端口，用户名，密码。
接着就是善后了。对方如果已经入侵了你的站点，这些密码都不再是密码，因此最保险的做法就是全部改掉。