爱华网今天发现网站后台进不去了,用FTP看了一下根目录,多了一个文件Global.asa,删掉后可以了。
global.asa木马,使得用户从百度点击进来的时候,网站的会自动跳转到其他网站:比如色情站点和有病毒的网站。再就是百度site:自己的网站会发现收录了许多色情页面。
如果自己删不掉的话你可以找自己的空间商让他们给你删除这个木马。
(1)黑客主要是抓您网站的上传漏洞将asp文件传入您的空间,然后再生成global.asa文件。来劫取流量的。
有人说我的网站只能上传图片,他们是怎么把ASP文件传入我空间的,这个不难发现,您仔细查看下你的上传目录,是不是存在.asp;jpg;的文件,不要溜掉编辑器的上传空间啊。
以fckeditor为例,只要把比如a.asp改成a.asp;jpg,就是加上一个分号再加上一个jpg,该编辑器就束手无策了。而且也能被执行。这样修复起来应该容易了吧。
首先找到fckeditor下上传图片的文件,/fckeditor/editor/filemanager/connectors/asp/commands.asp。在这个文件里找到FileUpload这个过程,在大概151行这个位置把原来的 If oUploader.ErrNum> 0 Then sErrorNumber = "202" 改成 If oUploader.ErrNum> 0 or instr(oUploader.File( "NewFile").Name,".asp")>0 Then sErrorNumber ="202"。这样只要文件名里含有.asp的都会报错,至少这个方法可以杜绝文件名里包含.asp的文件。
(2)其被黑的原理是通过微软ASP的一个对文件操作的控件FSO(FileSystemObject)创建global.asa文件实现批量挂马,Global.asa文件可包含可被ASP应用程序中每个页面访问的对象lobal.asa文件,处理方法:
1、上传一个空的Global.asa文件,不写入任何字符代码,保持其0字节:
2、打开建立的Global.asa文件的属性,使其只读+隐藏:
3、进入Global.asa文件的安全选项卡,取消除了Administrators以外的所有账号的访问
4、保存退出。这样黑客将无法再次写入global.asa文件,可以避免再次被人写入含有不规范代码的Global.asa文件
分析:此方案属于“疫苗型”的方案,如果网站是ASPX程序,可以同样的方法建立global.asax 。
一般网站编辑器等能上传文件的地方 ,要注意打补丁,注意安全问题。
