假如你發(fā)現(xiàn)你網(wǎng)站已經(jīng)中招(大部分表現(xiàn)為被人插入iframe代碼����,首頁或者每個(gè)頁面)����,可以參照以下辦法進(jìn)行處理:
(相關(guān)論壇鏈接:http://bbs.powereasy.net/dispbbs.asp?boardID=67&ID=304237&page=1)
1���、按固頂http://bbs.powereasy.net.cn/dispbbs.asp?boardID=67&ID=304162&page=1
動(dòng)易最新漏洞公告�,刪除你的站點(diǎn)下Space文件夾和User/User_Space.asp文件��。
2�、對(duì)比動(dòng)易所有的asp文件,發(fā)現(xiàn)多出來的asp文件,立即下載備份(供分析用)然后從站點(diǎn)中刪除!假如是文件大小�����、日期不一致的����,編輯該文件,看是否有不良代碼。黑客比較喜歡在conn.asp和config.asp里面放不良代碼��。假如發(fā)現(xiàn)有�,先刪除,然后上傳動(dòng)易官方最新文件替換���。
3、查看所有的JPG,GIF文件名�����,凡是發(fā)現(xiàn)帶asp文件名的��,立即下載備份(供分析用)然后從站點(diǎn)中刪除��!
4、以上2、3步驟是檢查木馬程序文件,完成后�,就該檢查后臺(tái)模板了���。首先當(dāng)然是馬上修改治理員密碼(能動(dòng)你模板說明就能進(jìn)你后臺(tái)了)���,然后在模板治理中�����,用查找替換模板的方法���,查詢你網(wǎng)站頁面被插入的那個(gè)iframe代碼�����。
5、停止網(wǎng)站所有的上傳功能���,檢查所有會(huì)員名,發(fā)現(xiàn)帶asp的(包括*.asa����、*.cdx�����、*.cer),全部刪除(請(qǐng)自行斟酌�����,為了網(wǎng)站安全��,損失點(diǎn)也沒辦法),同時(shí)��,在網(wǎng)站選擇題那設(shè)定禁止注冊:asp 這樣的會(huì)員。
6�����、假如你網(wǎng)站的數(shù)據(jù)庫使用的是默認(rèn)的Database/PowerEasy2006.mdb數(shù)據(jù)庫路徑和文件名�,請(qǐng)立即更改!切記�����!
7、登陸后臺(tái)后網(wǎng)頁一片空白的處理方法���,用對(duì)應(yīng)版本原始的admin文件夾覆蓋你的治理目錄中的文件,并將目錄中多出來的文件刪除掉��。
以下是:rhongsheng 提供的一個(gè)方案:
-------------------
1.修改/inc/checklist.asp文件中的94行����,在其中加入Or InStr(iname, ".") > 0 。該代碼起到注冊是限制注冊用戶名包含有“.”���?;蛘咴谄渲邢拗瓢?asp"也可以O(shè)r InStr(iname, "asp") > 0�。可以兩者一起限制�。經(jīng)過本人測試�����,限制之后eval后門執(zhí)行程序起不了做用。
------------------
以上辦法供參考�,有更多措施將進(jìn)一步補(bǔ)充完善��。
------------------------------------------------------------------
另外,需要補(bǔ)充一下的是:
1.動(dòng)易系統(tǒng)內(nèi)自帶的“禁止注冊的用戶名”中即使加了.asp|asp|限制都依然可以注冊��,所以為防止出現(xiàn)意外�,建議暫時(shí)關(guān)閉會(huì)員注冊�,或根據(jù)以上的臨時(shí)修改方案暫時(shí)解決。 ――版主 天域
2.假如你網(wǎng)站的數(shù)據(jù)庫使用的是默認(rèn)的Database/PowerEasy2006.mdb數(shù)據(jù)庫路徑和文件名,請(qǐng)立即更改�����!切記��!
