关于已经中了木马的网站，相关处理办法

admin

1)
所有的INDEX.ASP&#160;INDEX.HTML文件的后面都有<iframe src="XXXXX.COM" width="0" height="0" frameborder="0"></iframe> 把它们删了。再把CONN.ASP文件的最后也有的<iframe src="XXXX" width="0" height="0" frameborder="0"></iframe>删除掉，因为很多文件都要用INCLUDE&#160;CONN.ASP文件，所以根本是这个文件的清除。

可能你的论坛也被植入此代码，清除方法一样，INDEX.ASP和CONN.ASP的清除。OK?

2)
如果你发现你网站已经中招（大部分表现为被人插入iframe代码，首页或者每个页面），可以参照以下办法进行处理：

1、按固顶http://bbs.powereasy.net.cn/disp ... D=304162&page=1动易最新漏洞公告，删除你的站点下Space文件夹和User/User_Space.asp文件。

2、对比动易所有的asp文件，发现多出来的asp文件，立即下载备份（供分析用）然后从站点中删除！如果是文件大小、日期不一致的，编辑该文件，看是否有不良代码。黑客比较喜欢在conn.asp和config.asp里面放不良代码。如果发现有，先删除，然后上传动易官方最新文件替换。

3、查看所有的JPG,GIF文件名，凡是发现带asp文件名的，立即下载备份（供分析用）然后从站点中删除！

4、以上2、3步骤是检查木马程序文件，完成后，就该检查后台模板了。首先当然是立刻修改管理员密码（能动你模板说明就能进你后台了），然后在模板管理中，用查找替换模板的方法，查询你网站页面被插入的那个iframe代码。

5、停止网站所有的上传功能，检查所有会员名，发现带asp的，全部删除（请自行斟酌，为了网站安全，损失点也没办法），同时，在网站选择题那里设定禁止注册：asp 这样的会员。

6、如果你网站的数据库使用的是默认的Database/PowerEasy2006.mdb数据库路径和文件名，请立即更改！切记！

以下是：rhongsheng 贵宾提供的一个方案：
-------------------
1.修改/inc/checklist.asp文件中的94行，在其中加入Or InStr(iname, ".") > 0 。该代码起到注册是限制注册用户名包含有“.”。或者在其中限制包含"asp"也可以Or InStr(iname, "asp") > 0。可以两者一起限制。经过本人测试，限制之后eval后门执行程序起不了做用。
-------------------
以上办法供参考，有更多措施将进一步补充完善。