如何应对Global.asa木马

 Global.asa是针对百度的制作的一个非常邪恶的木马,沾染了它,就很难清理干净,网络上对这个木马的介绍很多,大多都是讲述怎么删除和防范,对于沾染这个木马清除之后的一些情况,却没有一篇文章能详细说明,之前我就自己处理这个木马的经验,写了一篇《详谈Global.asa清除及百度快照的更新》的文章,被各大网站转载了,但是这篇文章还有一些没谈到的,后来又做了修改,改为细谈,不管是详谈还是细谈,其实都是玲珑戏曲艺术网沾染这个病毒后,我在摸索如何处理的办法,最终整理出来这些经验,虽然很肤浅,还是觉得应该与大家一起探讨,欢迎大家补充和指正,以协助更多的朋友能把这个木马清除干净。

一、Global.asa木马的删除与清理

玲珑戏曲艺术网是7月8日中的毒,我7月10日查询百度收录的时候,才发现有很多恶意信息,遂查看后台,发现多了一个Global.asa,然后百度搜索了一下,才知道这是一个木马,立即予以删除。删除之后,我把所有数据下载,然后逐个栏目核对,发现根目录下还有俩可疑文件,一个是newfive.asa,另一个也是asa文件,名字忘记了,随即删除。

在下载时,发现一个目录下有个 .GLE 的文件夹不能删除,没办法,只能找空间商协助删除了。下载完全部数据后,我把空间的数据都删了,然后再在硬盘复制一份数据,逐一文件核对,核对完了,用原始数据覆盖了一下,然后用杀木马软件查杀一遍,把数据重新上传到空间。至此第一步工作完毕。

先把这部分总结一下

1、发现Global.asa木马后,自己能删除的,就自己删除,删除不了的,在根目录建立一个文件夹,把这个木马移动进去,然后登陆空间管理后台,一般都有一个删除文件的功能,删除即可,还删不了的,就请空间商帮忙

2、核对数据,看是否有可疑文件,有的话,继续删除

3、下载数据后把原空间数据全部删除,

4、硬盘拷贝一份刚才下载的数据,对主要部分进行核对,能删的数据就删了,然后用原始数据覆盖。但要注意有些关键性的文件别删,比如动易子目录下的Channel_Config.asp文件,是栏目配置,万一删了,也没事,再生成一下就可以了。

5、用木马查杀工具护卫神、网页木马扫描工具、铱迅硬盘扫描等对数据进行查杀。

6、准确无误了,将数据重新传回空间,最好能重新生成一下频道、栏目等相关信息

做了这些工作,基本就算干净了,我使用的是动易系统,MySQL数据库,接下来的工作就是清理数据库。

二、网站数据及数据库清理

为了防止再侵害数据,你要对FTP、网站管理数据及数据库进行一些必要的设置及防护,这不解释了,只把需要做的工作概述一下。

1、登陆空间管理后台,改你的FTP密码,既然黑客能侵入上传文件,那说明密码已经被破解,尽量改的繁琐一些。

2、登陆FTP,把登陆后台的文件夹改名(如:动易管理登陆的admin文件夹改名为denglu8188等等)

3、登陆网站后台,进行必要的设置。(如:动易需要在后台设置管理目录:网站信息--网站选项--后台管理目录:把刚才改过的名字写上即可)

4、检查一下页面上传的代码及各栏目的上传权限(包括文本编辑器FCKeditor等),这是重点防御的地方。没必要上传的栏目,就把上传功能给屏蔽了。

5、给管理员登陆加上验证码、管理验证码等,做好深度加密。

6、设置网站为防Sql注入

7、如果是ACCESS数据库的话,将扩展名改成普通网页名称并加密

8、用瑞星、360等网站在线检查安全系统进行查木马操作,看是否还有残留。

9、除此之外,我还使用了蚂蚁注入工具、ASP在线查木马、雷客图ASP站长安全助手等软件进行在线查杀,以找出夹杂在JS中的可疑文件,遇到不明的地址,一定要进行核对。有问题的就赶紧删除。

经过这样的清理,网站算是干净多了,也就可以放心了,但是事情并没有完,百度、谷歌等收录还存在很多问题了,我们该如何清理呢?在前面的文章中我谈到一些方法,但是不全面,这次着重讲一下清理收录的问题,这也是很多人没有谈到的,并且是很多人都想知道的。

三、搜索引擎的收录清理问题。

清理完数据,查阅玲珑戏曲艺术网在百度的24小时收录,发现每天的收录总是在2230左右,而在没有感染木马之前,则是更新10个,收录也显示的差不多,由此看来这很不正常,于是我多次找办法也没有能解决,并且那些垃圾信息一直是不停地往首页收录移动,致使百度权重降到0,怎么办呢?

我们先来观察一下这些垃圾收录的网址,(我使用的是动易SiteWeaver_eShop6.8,不同的数据系统可能稍微有差)http://www.llxiqu.com/YSSJ/ShowArticle.asp?ArticleID=1819&id=17277 在“&”之前是我正式的网页,而之后的ID则是被木马侵袭的,在没有删除木马前,你点击收录会自动跳到别人的网站去,所以,在删除木马后,你要对网站的原文件进行删除才行。

删除了原文件还不算完,还要做一些工作,比如设置禁止抓取的Robots文件,设置死链文件等,同时还要向一些搜索引擎提起申诉网页具体步骤是:

一、各大引擎的删除处理

1、百度的处理

A:用“site:网址”的命令,先在百度查找问题页,找到后,点开网页快照,你会看到在你正式网页前面一堆的垃圾信息,你再点投诉快照,进行申诉

B:同时把浏览器中对应的网址地址拷贝下来,放到一个名为sitemap的文本文件里,这个文件你可以用下划线加名字,(如我的文件是sitemap_321.txt)

C:删除你网站中的这个文件,对于重要的文件,你可以选择发布成一篇新文章,然后将这个有问题的删除掉。

D:设置好你的404页面,让这些删除的文件,在无法抓取时返回404

E:全部查找完后,把sitemap文件上传到服务器

F:登陆百度站长平台,在站长工具里,提交死链文件sitemap,就等着百度自己删除吧

前段时间,可能是百度的站长平台有问题,所以我提供了好几次都没见反应,投诉的网页也没人处理,遂在微博上发言,跟他们联系,倒是挺重视的,也管点作用,但是问题还是没有彻底解决,我想应该是他们的抓取程序问题,所以等了几日,真就解决了。

2、谷歌的处理

相比百度来说,谷歌处理可是快多了,你要做的是,先查找谷歌收录的信息,然后把有问题的网页删除了,并依然要记录下来网页地址,放到sitemap文件里,然后登陆谷歌的网站管理员工具,里面专门有一个删除网址的工具,你提交一下就可以了。

需要说明的是,谷歌收录的问题网页没有“&”后面的字符,但有些东西标题是你原始文章的,可是下面提要却是垃圾信息,所以你要仔细查找才行。

3、搜搜、搜狗、360和有道的处理

一般来说,搜搜收录是比较多的,但是垃圾页面收录的不是很多,有道基本不会乱收录,所以可以放心,搜狗和360会收录一些,但不要担心,即使收录了,你点击快照,就会看到申诉删除网页的提示,所以删除也方便。

其实这几个引擎收录对禁止抓取和死链都比较友好,你提供了,他们用不了多久就会处理掉那些信息,不像百度那么慢。所以这些都放心,之所以要挨个查找,就是要看一下还有多少垃圾页面没有删除和记录在案,我们好把这些删除了,然后提交死链。

需要说明的是,不管是在那个搜索引擎中查找,一定要仔细,即使后面提示你过滤掉了重复连接,你最好别嫌麻烦,再点开一下,重新查一遍,因为有些地址会隐藏其中,容易删不干净,过几天他们会卷土重来。

二、用工具查找网站死链

XENU Link Sleuth是一个很好的死链检测工具,我就是用这个工具来检测死链的,他能把网站中的所有连接都检测一遍,发现死链会显示出来,同时你还可以用这个工具检测出一些不被你发现的黑链,根据提示你可以查找删除,彻底把木马清干净。

三、制作死链和Robots文件

1、死链的提交

经过这么一折腾,死链基本都找全了,当然,别的搜索引擎收录中可能还有不同的,我们暂时没发现,就先这几个吧,你把刚才整理的sitemap文件分两份,一份叫sitemap1,一份叫sitemap2,第一份我们就用黑客链接的那些链,不用改任何东西,直接传到FTP跟目录下,在百度提交死链,另一份我们需要做一些工作,就是把&后面的字符全去掉。

注意一点,有些地址比较特殊,根据你网站数据不同,具体情况具体分析吧。

还有一点要说明的是,挂马是在一个文件上反复的,所以你都删完了,看一下,每个地址只留一个即可,这是为了让搜索引擎知道这个网页不存在了,好删除,多余的没意义,反而显得累赘。

整理完了,把这个文件也传到网站跟目录去,并向百度提交死链,就可以了

2、禁止抓取文件Robots的提交

我们注意到,黑客感染文件都是带“&”的,所以我们可以禁止收录“&”的文章,可以写下面的语句:Disallow:/*&id 或Disallow:/*&,当然了,根据你网站文件不同,你可以自己设置,我这只是以动易系统做说明的。

对于你不想收录的东西,都可以在这个文件中禁止,具体这个文件的写法,你可以看下百度说明,网络也有很多这类文章,就不多述了。

为了防止百度再翻过了收录那些垃圾,我将前面提到的sitemap1死链文件,都在Robots做了抓取限制,我觉得这样限制一下,不会再有之前的删除掉又重新出现的情况。

一个一个的替换会很麻烦,你可以用字符替换的方法,例如,我在替换玲珑戏曲艺术网的数据时,将http://www.llxiqu.com/都替换成了Disallow:/ 后,就形成了Disallow:/yyfh/ShowArticle.asp?ArticleID=1862&id=112336&id=464812

我们所做的工作就是这些了,我很繁琐地讲了这些,是指导那些不会的朋友去做,高手肯定一看就明白了。

当然这些都是我摸索出来的东西,本人对网站防护知识很欠缺,我一直在怀疑黑客还有别的方法劫持关键字和收录,这主要是针对百度,由此而见作为主要的决定网站生死的百度,在收录和技术处理上还有很多不足,这些不足使得这些黑客钻了空子,才使得网站被黑后,数据一直处于混乱状态,随时都有被降权、被K的危险。同时希望高手能研究一下对付的方法和清理的软件,毕竟大家做网站都不容易。

另一方面,我们自己的网站也有问题,应该做好随时的防护工作,经常关注一下百度及各大引擎的收录情况,注意一下后台情况,特别注意下网站是否有被侵入的情况,查一下管理员日志,找出问题及时更新。

好了,我要介绍的就这么多了,通过这三个来月的研究,也使我增长了不少知识,我觉得木马固然可怕,只有你用心去研究,也可以解决到的,我在寻找方法的过程中,也吸取了不少朋友们提供的资料,同时更欢迎大家指出本文的不足,有更好的办法,更希望大家一起共享,一起来抵御这些恶毒的木马。

posted @ 2012-12-11 17:30  -j神-----  阅读(1265)  评论(0编辑  收藏  举报