godaddy 空间被挂马之后怎么处理?
5月13号:有一哥们已经找到了办法了,到下面的地址去看看吧,
http://bbs.idcspy.com/thread-95826-1-1.html
解压后上传到根目录,用浏览器打开,只适用昨天出现的恶意代码,至于什么恶意代码可以查看下我的帖子
如果在执行的过程中出现超时或者500错误,那你只能一个目录一个目录执行
我的几个网站都已清理完毕,插件来源于国外某论坛
如成功清除,会现出如下提示
Site clean up by http://sucuri.net
This script will clean the malware from this attack: http://sucuri.net/malware/entry/MW:MROBH:1If you need help, contact dd@sucuri.net or visit us at http://sucuri.net/index.php?page=nbi
Malware removed.
Empty lines removed.Completed.
—— – - – - – ——— – - – - – -
昨天关于临时处理的部分:
如果网站被挂马,首先要清楚是挂在那里,虽然木马都是使用js ,而且一般就放在尾部(footer),但是挂的方式有很多种,
godadd空间最近发生的事来说,是在php文件中植入了一个加密的php代码,通过这个代码在footer写了一个js,具体请看前一篇,
那要怎么处理?
首先,你应该保护你的会员,可以把域名转向到其它IP,或网址,让中招的网址无法访问,
做为站长,你不能让你的会员因为访问你的网站而中招,
但今次因为其中招的主要是php文件,静态文件并没有中招,我们可以删除php文件,你现在应该做的是把根目录(首页)下的所有能访问到的php文件删除,如index.php thread.php
注意,discuz的配置文件是在根目录的,不要删除配置文件,我就一不小心删除了,到时可能要重新安装新建一下
自己再写一个静态的说明首页,index.html,不太懂的可以直接copy下面的代码,建立一个txt文件,自己再生命名为index.html 就可以了,
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> <title>杜夫(www.doff.com.cn) 现已经被挂马,清理中</title> </head> <body> <p><br/><br/><br/><br/><br/> 杜夫(www.doff.com.cn)所在服务器被挂马,目前清理中,请等待过些天再访问 </p> <p>会员朋友可以进入我们的淘宝店,, 网站可以正常访问 </p> <p><font style="color:#ff0066; font-size:36px;">如有提示下载,请不要下载</font></p></body> </html>
另外为了保险起见,最好在ftp把index.html 属性设置为不可写 (404),
要说明的是,我这个网站doff.com.cn并没有被挂马,是我的另一个,只是不好列出域名
phpwind或ecshop,也是一样的,
用dedecms做的网站在这次中还算比较幸运,因为其生成静态的,而这次感染的全部都是php文件,只直接删除了根目录下的index.php就可以了,
还有,最好把plus member文件夹改名,以防止会员进入到这些动态页面,做好之后再检查一下网页的源代码,这个家伙很精, 看看里面还有没有恶意的js文件在里面,具体是些什么文件请上我的上一篇
当然,在做这些之前最好备份一下,我的没有做,因为感觉这些代码问题应该不大,
完成这些应急处理之后,
接下来就静等godaddy的处理,这个是有二种可能,一是godaddy的服务器有漏洞,二是很多人说的wordpress的代码引起的,
无论是那一个,不太懂的站长都先不要动,因为现在改动了的话,可能还是会被再感染,
等到查出是那里的问题之后,比如服务器的问题,那么要等godaddy清除了木马之后才能再开始清除代码中的恶意代码
By 解决方法, 2010年05月12日 @ 7:04 下午
目前的方法是用镜像恢复,我已经恢复了,但是不知道具体的漏洞在哪,怕过一段时间又挂上了。
By admin, 2010年05月12日 @ 8:01 下午
没有什么大问题的,应该是服务器与代码的双重原因,godaddy linux服务器的权限开放太过了
By 9fun, 2010年05月13日 @ 2:50 上午
其实原因有部分网站用的是老版的WordPress有漏洞。
也只有部分linux主机用的是老内核,所以 被批量挂马的正常。没什么啦,不要太怕了。
By driving directions, 2011年01月4日 @ 10:20 下午
Hey – great blog, just looking around some blogs, appears a quite good platform you might be making use of. I’m currently making use of WordPress for a couple of of my sites but looking to alter 1 of them over to a platform comparable to yours as a trial run. Something in particular you would recommend about it?