日记一则 08年6月17日

今天想要浏览一些关于BEYOND的新闻,由于就打开Beyond家园看看有没有最新的消息。因为6月份有很多关于纪念家驹的音乐会或者其它信息,所以这段时间比较关注Beyond的新闻。

刚打开Beyond家园的首页,就看到浏览器下方的状态栏处有不明网址出现,随后机子就开始缓慢如牛。

可以肯定是网站被挂马了,先清马再说。

飞哥QQ没有在线,我有Beyond家园的FTP,所以就上FTP先看看具体是什么情况。

所有.asp、.js的文件都被挂马了,脚本代码如下:

由于不是自己的服务器,所以清理木马比较麻烦,但也要手动来清理了。就在清理时,发现另外一个问题:因为数据库是.asp格式的,在被挂马的时候被损坏了。格式为.asp的数据库文件都无法访问了。

这是一个很棘手的问题,数据库也没有近期的备份。Beyond家园的网站内含有视频欣赏、音乐试听、FLASH、手机视频、乐队资料、乐队图片等栏目,其中不少栏目资料的更新量都很大,所以有些数据肯定丢失了。

我马上联系了飞哥,让他把最近的数据库重新传上去,减少到最小损失吧。于是我又开始清理木马,把数据库的所有格式都改为.mdb,然后修改MDB文件的应用程序扩展为非ASP的其它执行程度,我认为这是一种对Access数据库最安全的处理方法。

经过差不多2个小时的清理,网站终于可以正常访问了。但我的机子又出问题了,诺顿一直提示explorer.exe文件被感染。

重启了一下计算机,桌面显示不出来了。我的机子装的是Windows server 2003,ICP共享默认是开着的,就拿同事的电脑访问我的机子,然后在C:\Windows目录下找到explorer.exe删除,再从同事的电脑上把explorer.exe文件复制到我的机子上,就这样机子中毒的问题就解决了。

后又发现Beyond家园网站中有很多页面被写了了一句话木马,终于找到为什么近段时间Beyond家园网站一直被挂马的源头了。

呵呵,更改一句话木马中的代码为: