网站中病毒或者有木马怎么处理
网站其实本身肯定是不会中病毒的,只能是服务器里面存储的蓝本文件里面比如说某些图片和下载文件里面会存在木马病毒,而遇到了木马病毒后更好的办法自然就是想办法给电脑杀毒了,可以用电脑管家的病毒查杀功能,在服务器里面找出病毒查杀了,就行了。
网站被黑客挂上木马病毒怎么办?
源码中查找可疑代码,删除
如何识别木马
识别木马有新招,希望这篇文章对你有所帮助。
一、经常看到有玩家说,在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员,还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道,不管是传奇还是任何一款程序。它都是有他所特有的数据的(包括玩家的帐号、密码,等级装备资料等等)。这些数据都是会通过本机与游戏服务器取得了验证以后,玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~,以我自己的计算机知识,这种语句的大概意思应该是:当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说,其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。
下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种 *** ,就是把木马exe编译到. *** 文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的 *** :
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治 *** ,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。
下边介绍一下木马和如何简单的检查一下是否中了木马。
木马程序一般分为服务器端程序和客户端程序两个部分,当服务器端程序安装在某台连接到 *** 的电脑后,就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是,木马是非法取得对对方电脑的控制权,一旦登陆成功,就可以取得管理员级的权利,对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用,因为一不小心就会引火上身,被对方反查过来就会偷鸡不成蚀把米了,一般他们都会采用只有服务器端的小木马,这类木马通常会把截取的密码发到一个免费邮箱里,不需要人为操作,有空去收趟邮件就可以了,这种木马遍布互连网的各个角落,的确防不胜防,由于木马程序众多,加之不断有新版本、新品种产生,使得软件无法完全应付,所以手动检查清除是十分必要的。
木马会想尽一切办法隐藏自己,别指望在任务管理器里看到他们的踪影,有些木马更是会和一些系统进程寄生在一起的,如著名的广外幽灵就是寄生在MsgSrv32.exe里;当然它也会悄无声息地启动,木马会在每次用户启动windows时自动装载服务端,Windows系统启动时自动加载应用程序的 *** 木马都会用上,如启动组、win.ini、system.ini、注册表等等都是木马藏身之地;下边简单说一下如何检查,点开始-运行,输入:
msconfig回车 就会打开系统配置实用程序,先点system.ini,看看shell=文件名,正确的文件名应该是“explorer.exe”,如果explorer.exe后边还跟有别的程序的话,就要好好检查这个程序了,然后点win.ini,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了,当然你也得看清楚,因为如“AOL木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件;最后点“启动”,检查里面的启动项是不是有不熟悉的,如果你实在不清楚的话可以把他们全部取消,然后重新运行msconfig,看一下有没有取消的启动项重新被选中的,一般木马都会存在于内存中,(就是线程插入,然后隐藏进程的木马,DLL无进程木马就不会驻留在内存里面,我们在下一次中会讲到)所以发现你取消他的启动项就会自动添加上的,然后你就可以逐步添上你的输入法,音量控制,防火墙等软件的启动项了;还有一类木马,他是关联注册表的文件打开方式的,一般木马经常关联.exe,点开始-运行,输入:regedit回车,打开注册表编辑器,点之一条,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\exefile\\shell\\open\\command里面的默认键值是不是"%1" %* ,如果是一个程序路径的话就一定是中木马了,另外配合两种以上的杀毒软件也是必要的,另外在windows下木马一般很难清除,最后重新启动到dos环境下再进行查杀。
防木马程序、防火墙、及杀毒软件介绍:
1、木马克星: 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
2、绿鹰PC万能精灵2.91 :专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
3、Symantec AntiVirus:这个我就不用再介绍了吧,全球更大的杀毒软件!强力推荐8.1企业版。
4、天网防火墙2.51个人版:天网防火墙个人版在 *** 效率与系统安全上完全采用天网防火墙的设计思想,采用更底层的 *** 驱动隔绝,其作用层在 *** 硬件与Windows *** 驱动之间,在黑客攻击数据接触Windows *** 驱动之前将所有的攻击数据拦截,保护脆弱的Windows *** 驱动不会崩溃
看看这个,是用VB编的木马程序
1.“特洛伊木马”有被称为BO, 是在美国一次黑客技术讨论会上由一个黑客组织推出的。它其实是一种客户机/服务器程序,其利用的原理就是:在本机直接启动运行的程序拥有与使用者相同的权限。因此如果能够启动服务器端(即被攻击的计算机)的服务器程序,就可以使用相应的客户端工具客户程序直接控制它了。下面来谈谈如何用VB来实现它。
使用VB建立两个程序,一个为客户端程序Client,一个为服务器端程序systry。
在Client工程中建立一个窗体,加载WinSock控件,称为tcpClient,协议选择TCP,再加入两个文本框,用以输入服务器的IP地址或服务器名,然后建立一个按钮,按下之后就可以对连接进行初始化了,代码如下:
Private Sub cmdConnect_Click()
If Len(Text1.Text) = 0 And Len(Text2.Text) = 0 Then
MsgBox ("请输入主机名或主机IP地址。")
Exit Sub
Else
If Len(Text1.Text) 0 Then
tcpClient.RemoteHost = Text1.Text
Else
tcpClient.RemoteHost = Text2.Text
End If
End If
tcpClient.Connect
Timer1.Enabled = True
End Sub
连接建立之后就可以使用DataArrival事件处理所收到的数据了。
连接建立之后就可以使用DataArrival事件处理所收到的数据了。
在服务器端systry工程也建立一个窗体,加载WinSock控件,称为tcpServer,协议选择TCP,在Form_Load事件中加入如下代码:
Private Sub Form_Load()
tcpServer.LocalPort = 1999
tcpServer.Listen
End Sub
准备应答客户端程序的请求连接,使用ConnectionRequest事件来应答户端程序的请求,代码如下:
Private Sub tcpServer_ConnectionRequest
(ByVal requestID As Long)
If tcpServer.State sckClosed Then
tcpServer.Close‘检查控件的 State 属性是否为关闭的。
End If ’如果不是,在接受新的连接之前先关闭此连接。
tcpServer.Accept requestID
End Sub
这样在客户端程序按下了连接按钮后,服务器端程序的ConnectionRequest事件被触发,执行了以上的代码。如果不出意外,连接就被建立起来了。
2. 建立连接后服务器端的程序通过DataArrival事件接收客户机端程序所发的指令运行既定的程序。如:把服务器端的驱动器名、目录名、文件名等传到客户机端,客户机端接收后用TreeView控件以树状的形式显示出来,浏览服务器端文件目录;强制关闭或重启服务器端的计算机;屏蔽任务栏窗口;屏蔽开始菜单;按照客户机端传过来的文件名或目录名,而删除它;屏蔽热启动键;运行服务器端的任何程序;还包括获取目标计算机屏幕图象、窗口及进程列表;激活、终止远端进程;打开、关闭、移动远端窗口;控制目标计算机鼠标的移动与动作;交换远端鼠标的左右键;在目标计算机模拟键盘输入,下载、上装文件;提取、创建、修改目标计算机系统注册表关键字;在远端屏幕上显示消息。DataArrival事件程序如下:
Private Sub tcpServer_DataArrival
(ByVal bytesTotal As Long)
Dim strData As String
Dim i As Long
Dim mKey As String
tcpServer.GetData strData
‘接收数据并存入strData
For i = 1 To Len(strData)
‘分离strData中的命令
If Mid(strData, i, 1) = "@" Then
mKey = Left(strData, i - 1)
‘把命令ID号存入mKey
‘把命令参数存入strData
strData = Right(strData, Len(strData) - i)
Exit For
End If
Next i
Select Case Val(mKey)
Case 1
‘驱动器名、目录名、文件名
Case 2
强制关闭服务器端的计算机
Case 3
强制重启服务器端的计算机
Case 4
屏蔽任务栏窗口;
Case 5
屏蔽开始菜单;
Case 6
按照客户机端传过来的文件名或目录名,而删除它;
Case 7
屏蔽热启动键;
Case 8
运行服务器端的任何程序
End Select
End Sub
详细程序略。
客户机端用tcpClient.SendData发命令。命令包括命令ID和命令参数,它们用符号“@”隔开。
另外,当客户机端断开与服务器端的来接后,服务器端应用tcpServer_Close事件,来继续准备接收客户机端的请求,其代码如下:
Private Sub tcpServer_Close()
tcpServer.Close
tcpServer.Listen
End Sub
这就是一个最基本的特洛伊木马程序,只要你的机器运行了服务器端程序,那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了,在我的源程序中有一中 *** ,是修改系统注册表的 *** 。
这就是一个最基本的特洛伊木马程序,只要你的机器运行了服务器端程序,那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了,在我的源程序中有一中 *** ,是修改系统注册表的 *** 。
成功的特洛伊木马程序要比这个复杂一些,还有程序的隐藏、自动复制、传播等问题要解决。警告:千万不要用BO程序破坏别人的系统。
网站被黑客攻击挂马怎么办
1
先将网站所在的文件夹权限更改至更低,即只保留读写权限,其他权限暂时都不要选(如果自己无法更改请联系空间商),现在你正在处理问题,只要能正常访问就可以了。更改了文件夹权限以后,黑客即使留了后门也无法再次篡改你的页面了,这也就防止了你老问题没解决就出现了新的问题。当然如果是整台服务器都被黑了,那就做无用功了,因为这很可能不是你的错,还是趁早换空间吧,要确定是不是整台服务器挂了可以用同IP网站查询的 *** 观察下和你在同一台服务器的其他网站的情况来判断,如果黑客入侵了整台服务器,他不可能只在你一个网站挂马的,就像你捡到1000元钱时同样不会留下900元给别人捡。
2
在确保黑客无法再次篡改你的页面后,找出被挂马的页面(也可能存在后门文件)删除或替换之。最简单的做法就是用你之前备份的文件替换现在的文件,为了确保可以替换每一个页面,可以先将空间清空后再上传,可能有些人会比较疑惑为什么要先清空,一个是因为黑客很可能上传了自己的后门文件,这样即使你用替换法也是于事无补的;二是因为黑客很可能会将他挂马的页面锁定,导致你无法用覆盖的方式将文件替换。所以先将空间清空既可以删除可能存在的后门文件也可彻底替换每一个可能被挂马的页面,其实更好的 *** 就是直接换一个空间,这样你把备份文件传上去是肯定没有被挂马的。如果说你的运气比较背,没有备份文件,那确实非常麻烦,这时你可以根据杀软提示信息查找可能被挂马的页面,当然更好还是找个专业人士帮你处理一下。如果你不处理掉的话,即使你换空间也无济于事,因为你这是换汤不换药,换空间的同时也把木马带过去了。
3
做好上面2个安全措施以后,请检查自己的账号密码是否过于简单,这里的账号密码包括空间FTP、网站后台以及数据库等任何涉及安全的账号密码,切忌直接将域名直接或间接的作为账号与密码,更好可以大小写组合,过于简单容易被破解的请立即更改。帐号密码调整好以后再检查网站的管理后台目录是否是默认的,如果是默认的类似admin这样的请做修改以防止黑客从后台入侵。
网站一直被恶意攻击怎么办
1、DDOS攻击如果是ddos攻击的话,危害性更大。原理就是想目标网站发送大量的数据包,占用其带宽。解决方式:一般的带宽加防火墙是没有用的,必须要防火墙与带宽的结合才能防御。流量攻击的不同,你制定的防火墙开款资源也不同。比如10G的流量要20G的硬件防火墙加上20G的带宽资源。2、CC攻击cc攻击的危害性相比上面的这种来说,要稍微大一些。一般cc攻击出现的现象是Service Unavailable 。攻击者主要利用控制机器不断向被攻击网站发送访问请求,迫使IIS超出限制范围,让CPU带宽资源耗尽,到最后导致防火墙死机,运营商一般会封这个被攻击的IP。针对cc攻击,一般拥有防cc攻击的软件空间,在很多VPS服务器上面租用,这种机器对于防cc的攻击会有很好的效果。3、ARP攻击说明如果对别的网站进行ARP攻击的话,首先要具备和别人网站是同一个机房,同一个IP,同一个VLAN服务器控制权。采用入侵方式的攻击,只要拿到控制权后,伪装被控制的机器为网关欺骗目标服务器。这种攻击一般是网页中潜入一些代码进行拦截,让用户名和密码。
网站被挂别的域名了?中木马了
1.查看日志以及源码,找找最近被修改过的文件。(也能明白黑客攻击手段)
2.黑客插入代码经常会使用混淆加密,自己检查网站根目录有没有多出来可疑的文件,没有的话就一个一个看js之类的文件,有没有多出一段可疑的混淆加密代码,或者链接到别的ip的代码。例删除 *** 里的混迹加密代码,并做下 *** 目录的权限为只读权限。
我的网页被放了木马该怎么办?
这个应该是免费空间的服务器被人攻击植入网页木马了,如果你自己有ftp权限的话,把文件属性改成只读就好了
0条大神的评论