清风客栈

服务器网站挂马解决记录

一台服务器中毒后网站被挂马

症状如下：

打开网站会提示3个木马，查看源代码看不到病毒链接。

360分析的木马链接 
56hyy.3322.org:987/wm/hs.htm   还有一个JS的  一个SWF的病毒 

该病毒很狡猾，一个机器一天只会下载一次，ARP防火墙也没有任何被攻击的提示。

解决过程：

第一天上服务器安装了金山ARP防火墙，诺顿11杀毒软件。

服务器查杀出病毒，再访问网站也没有病毒，以为解决了。

第二天网站依然存在挂马，我还是查网站文件没有查出，也怀疑是ARP攻击，推给机房基数解决，机房没有处理。

于是让客户基数自查代码，客户也没有理会处理。

第三天网站依然存在挂马，百度搜索了下ARP病毒解决方案，看到说是要把ARP防火墙的自动防御模式改为始终连接，每秒50次，修改后挂马依旧存在。

我开始怀疑可能是服务器中毒，开始查找注册表查找3322.org 果然查找到几个木马连接相关的文件，然后删除了相关的几个注册表项，修改后挂马依旧存在。

百度搜索了下有处理这个问题的没收费服务，300元一次，还是算了吧。

无奈了，和客户反馈了之后，尝试恢复系统，试试看吧。

恢复系统后做了简单的安全设置，然后安装ARP防火墙并调整模式为终始连接，每秒50次，接着安装诺顿杀毒软件。

360依旧提示木马纯在，后来重启了下，准备安装VIF IIS防火墙，还没有安装，

此时发现360提示网站已经安全，网站挂马已经清除。

后来想想真不应该在中毒的系统上去做设置，早就应该尝试恢复系统了。