求救，救命，我网站被挂马了，跪求解决办法 bbs.ikaka.com

小李123 - 2009-8-26 15:00:00

我网站最近中了个木马，扫也扫不出来。
把程序文件全删除，换上以前做好的备份文件，马还是出来了。
马的地址是

http://statd.3322.org/a0036159/a03.htm

求救，高人指点米经，不胜感激啊。。:kaka4: :kaka4:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

networkedition - 2009-8-26 15:03:00

这个地址失效了，有后门了吧。检查一下网站及源代码是否有漏洞:kaka6: 可以扫描一个sreng日志发送上来诊断一下。

小李123 - 2009-8-26 15:05:00

2楼大哥，啥叫 sreng啊，能教教我吗，我小白菜

networkedition - 2009-8-26 15:08:00

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

小李123 - 2009-8-26 15:42:00

好，多谢，我找时间去服务器上用这个先进的工具查查，找找，看找的到啥蛛丝马迹否。:kaka9: :kaka9: :kaka9:

夲號ヱ被ジ盜 - 2009-8-26 16:12:00

你网站地址是？

小李123 - 2009-9-1 11:02:00

还是不行啊.我拿正版的瑞星杀毒软件全盘杀毒,只杀了一个木马,然后拿360专杀工具杀毒,没任何影响.
最后我拿我的本本接他们局域网进行杀毒，杀毒级别设置为最高，啥了几十个木马病毒出来，还是要弹出来IE拦截。
网址是这个：http://statd.3322.org/a0036159/a03.htm
我快绝望了。。今天又看，以前杀完毒的文件没有了，木马仍然存在，数据库仍然被黑被攻击。
前时间改了公网IP地址，数据库没事了，域名一旦和真实 IP地址绑定，数据库ACCESS马上被黑被攻击。:kaka4: :kaka4: :kaka4:

小李123 - 2009-9-1 11:03:00

我本本装的是卡巴斯基2010版本，病毒库也是最新的，杀完以后以为已经搞定，结果还是没影响。。

小李123 - 2009-9-1 11:13:00

c盘也刚做了系统不久，WINDOWS SERVER2003 SP2 正版瑞星，360，都装齐全了。
DEF3个盘有3个影藏文件夹删不掉，叫 AutoRom.inf, Desktop.ini, Folder.htt3个文件。后2个里面有2个文件 1个文件夹叫免疫目录不要删，另一个文本文档叫说明，里面是什么本目录由中国安天实验室安全工具创建。网站已经全盘杀毒了，咋办哦，难道要我全盘都格完吗？万一木马程序在网站程序里，杀不掉，就算硬盘全格完，找不出木马，杀不死，全做无用功啊，高人指教啊。:kaka4: :kaka4: :kaka4:

Enao2005 - 2009-9-1 11:17:00

按4楼说的，扫SRENG日志上来

岳麓山下 - 2009-9-1 11:24:00

不要心急，先按版主的要求将SREngLOG.log传上来，版主诊断后会给你进一步的意见，再按版主的要求一步一步进行清毒。
我曾多次按版主的指导解决了很难缠的病毒。

networkedition - 2009-9-1 16:59:00

说了一堆也没有见日志，先扫描个日志上来。数据库是access，建议检查网页源代码是否有漏洞，尤其是和数据库交互的页面代码。还有web服务器的补丁都要打全等。

小李123 - 2009-9-3 10:17:00

这个，昨天扫描的，是这个吗？

附件: SREngLOG.log

小李123 - 2009-9-3 10:22:00

昨天把服务器硬盘全格完了，重新装WINDOWS SERVER 2003 SP2，正版瑞星，360，全部补丁都打完，联想网御防火墙升级到最高。
网站程序也拿瑞星，360 360专杀，卡巴2010杀过了，昨天晚上差不多熬了 1个通宵查看网站源程序，都没发现任何连接到那个网址的蛛丝马迹，发布到外网上，继续被攻击，继续被黑。

networkedition - 2009-9-3 11:27:00

日志未见异常，网站服务器是什么架构的？另外网站网址是什么？

zg1_2004 - 2009-9-3 11:35:00

该用户帖子内容已被屏蔽

小李123 - 2009-9-3 11:39:00

服务器直接接的联想网域防火墙PORT4端口， PORT2端口接的内网交换机，交换机接外网路由器，路由器接电信光纤。
网址不方便说，这个见谅啊。

小李123 - 2009-9-3 11:40:00

在格式化服务器以前，这服务器就已经装过安天的那个啥产品了，照样没用。

小李123 - 2009-9-3 11:43:00

我买的正版瑞星，原以为可以搞死这些东西，:kaka4: :kaka4: :kaka4:

小李123 - 2009-9-3 12:01:00

关键最最奇怪的是，我拿我本本（XP SP3 系统）装了网站，下的卡巴2010，360，自己上，没问题，把服务器的网线直接接我的本本，外网访问我本本也没事，把网线接到刚做了系统的服务器上，马上又来了，难道WINDOWS2003系统不如XP SP3，难道XX不如 XX？？

瑞星卡卡安全论坛