服务器上的网站被挂木马,多半都是网页程序被加了iframe,或者就是局域网的ARP的攻击。今天有个朋友在群里说自己的服务器中了木马怎么办?于是我就告诉他,清除木马的步骤和方法。结果他说,他把所有程序都重新覆盖了,而且新的程序都是官方下载后解压的。ARP攻击也排除了,足足找了10天时间也没有找出结果。
最后打开他的网站,在电脑上安装的防火墙果然报警了,可是当我再次打开那个网站时就在没有弹出病毒的提示。最后他告诉我,这个病毒是每天一更新,你在第二天再打开时才会出现。
经过我的分析和考虑。一天一记,这不是我们所熟悉的流量计算法吗?一天记一次按一个IP计算,于是就想到了流量收购的那些人。他们多半就是用木马来取得大量流量,然后在卖给需要流量的人。
于是我就问这个网站的负责人,果然,他说前几天是出售过流量,可是最后发现很卡,就删除了。而木马就出现了。程序是新的,ARP也没有,只剩下就是数据库了,所以最后确定他的数据库被注入了木马程序。这是在后台操作而至,采用了管理员的权限,看来是这样的木马是自己的挂上去的。数据库查找是比较麻烦,不过可以寻找规律,这样就非常简单了!
责任编辑:小草
