网站被挂马如何清除各种情况总结

很多站长都会发现，网站总是会被攻击，被会挂马，那么遇到这些挂马情况一般都怎么处理呢?

1、简单挂马

首页被挂马，登录网站检查网站首页index.asp或者index.php的源码，一般在网站头部或者底部，清理之后，页面即正常，这种挂马主要以直接修改首页文件为主，容易发现和清理。

2、网页后门挂马

查看网站安全管理，发现网站任何页面都出现杀毒报警，按之前的方法查看index.asp或者index.php的源码，但却发现问题依然存在，于是查看其他文件才发现，所有文件全部加上了挂马语句，即使恢复了首页，但用户访问其他页面的时候依然会蹦出病毒提示。采用备份文件覆盖恢复，重装操作系统等方法都实验以后，隔天后可能再出现被挂马的情况，此时应怀疑属于网页后门导致，于是检查所有asp程序文件，攻击者往往会采用一些双扩展名的文件存放在，例如图片目录当中，xxxx.jpg.asp文件，打开来看代码类似于 这样的语句，明显是一句话后门，从文件名来判断，这种伪装图片的后缀上来的文件，应怀疑是提交图片功能存在上传漏洞，建议停用或者采用云锁进行过滤和检查网页木马。

3、数据库挂马

这是一种比较新的挂马方式，访问首页病毒报警，全盘查找，没有发现首页和其他文件被篡改，如果对比所有文件的md5，发现文件没有任何篡改的迹象，也就是说文件还是那些文件，为啥会出现挂马页面呢?可以考虑检查数据库中表单是否被挂马，网页木马并没有挂在文件里，而是挂在数据库内容里。原理是首页调用活动新闻的时候，从数据库里读出表单内容，形成网页，因此读取的地方被插入了挂马语句，通过日志分析可以看到类似sql注入漏洞的log：

http://www.aa.com/news.asp?id=8 '

http://www.aa.com/news.asp?id=8 and 1=1—

http://www.aa.com/news.asp?id=8 and 1=2--

可能最初会有一些探测语句。最后发现挂马的动作：

http://www.aa.com/news.asp?id=8 ' update news set ziduan='' where id=8'

从此判断应该是news.asp存在注入问题，因此加入对变量类型判断和关键字过滤等工作，再将数据库中的挂马字段进行修改。

4、文件调用挂马

常见的conn.asp等被包含的文件，有可能被插入后门，为啥修改这一个文件就能这么大威力呢?因为所有页面都调用了这个文件来连接数据库。文件可能会包含数据库的ip端口用户名及密码。此时应对数据库进行检查，例如数据库日志寻找一下是否有类似执行masterxp_cmdshell的记录，攻击者可能利用该扩展功能执行了系统命令来修改了文件，建议修改数据库口令，把数据库权限降到pubilc。将1433端口利用ipsec进行屏蔽，只允许本机访问。用云锁的防火墙功能进行拦截，并且可以扫描出被挂马的文件。

5、域名劫持挂马

直接在服务器通过ip访问就正常，用户通过域名访问就是提示有病毒，此时ping 自己网站域名的时候，如果显示的ip和真实的不一样，需要赶紧查看域名解析是否被修改，登录域名管理后台，修改为正常的，并且修改管理密码。

6、后台程序挂马

更新网页的后台程序，一般会使用一些熟悉的路径，例如：

http://www.xxx.com/admin/

http://www.xxx.com/login/

http://www.xxx.com/manage/

这种后台程序的链接虽然不公开给用户，但是经常容易被猜到，那么这种情况下，后台的用户名密码可以利用暴力破解的工具来穷举，理论上说破解只是时间问题，攻击者登录后台以后，就可以很方便的直接修改内容进行挂马。