1、 簡(jiǎn)單掛馬   首頁被掛馬，登錄網(wǎng)站后，殺毒軟件報(bào)警，檢查后，發(fā)現(xiàn)首頁index.asp檢查，底部出現(xiàn)，清理掉后，頁面即正常，這種掛馬主要以直接修改首頁文件為主，容易發(fā)現(xiàn)和清理。     2、 網(wǎng)頁后門掛馬   登錄網(wǎng)站任何頁面都出現(xiàn)殺毒報(bào)警，按之前的方法查看index.asp，并且去掉了iframe語句。但卻發(fā)現(xiàn)問題依然存在，于是查看其他文件才發(fā)現(xiàn)，所有文件全部加上了掛馬語句，即使恢復(fù)了首頁，但用戶訪問其他頁面的時(shí)候依然會(huì)蹦出病毒提示。采用備份文件覆蓋恢復(fù)，重裝操作系統(tǒng)等方法都實(shí)驗(yàn)以后，隔天后可能再出現(xiàn)被掛馬的情況，此時(shí)應(yīng)懷疑屬于網(wǎng)頁后門導(dǎo)致，于是檢查所有asp程序文件，攻擊者往往會(huì)采用一些雙擴(kuò)展名的文件存放在，例如圖片目錄當(dāng)中，xxxx.jpg.asp文件，打開來看代碼類似于<%execute request（“sb”）%> 這樣的語句，明顯是一句話后門，從文件名來判斷，這種偽裝圖片的后綴上來的文件，應(yīng)懷疑是提交圖片功能存在上傳漏洞，建議停用或者采用云鎖進(jìn)行過濾和檢查網(wǎng)頁木馬。     3、 數(shù)據(jù)庫掛馬   訪問首頁病毒報(bào)警，全盤查找，沒有發(fā)現(xiàn)首頁和其他文件被篡改，如果對(duì)比所有文件的md5，發(fā)現(xiàn)文件沒有任何篡改的跡象，也就是說文件還是那些文件，為啥會(huì)出現(xiàn)掛馬頁面呢？可以考慮檢查數(shù)據(jù)庫中表單是否被掛馬，網(wǎng)頁木馬并沒有掛在文件里，而是掛在數(shù)據(jù)庫內(nèi)容里。原理是首頁調(diào)用活動(dòng)新聞的時(shí)候，從數(shù)據(jù)庫里讀出表單內(nèi)容，形成網(wǎng)頁，因此讀取的地方被插入了掛馬語句，通過日志分析可以看到類似sql注入漏洞的log：   http://www.aa.com/news.asp?id=8 '   http://www.aa.com/news.asp?id=8 and 1=1—   http://www.aa.com/news.asp?id=8 and 1=2--   可能最初會(huì)有一些探測(cè)語句。最后發(fā)現(xiàn)掛馬的動(dòng)作：   http://www.aa.com/news.asp?id=8 ' u p date news set ziduan='' where id=8'   從此判斷應(yīng)該是news.asp存在注入問題，因此加入對(duì)變量類型判斷和關(guān)鍵字過濾等工作，再將數(shù)據(jù)庫中的掛馬字段進(jìn)行修改。可用云鎖輕松攔截這些語句。     4、 文件調(diào)用掛馬   應(yīng)查看被調(diào)用的其他頁面，常見的conn.asp等被包含的文件，有可能被插入后門，為啥修改這一個(gè)文件就能這么大威力呢？因?yàn)樗许撁娑颊{(diào)用了這個(gè)文件來連接數(shù)據(jù)庫。文件可能會(huì)包含數(shù)據(jù)庫的ip端口用戶名及密碼。此時(shí)應(yīng)對(duì)數(shù)據(jù)庫進(jìn)行檢查，例如數(shù)據(jù)庫日志尋找一下是否有類似執(zhí)行masterxp_cmdshell的記錄，攻擊者可能利用該擴(kuò)展功能執(zhí)行了系統(tǒng)命令來修改了文件，建議修改數(shù)據(jù)庫口令，把數(shù)據(jù)庫權(quán)限降到pubilc。將1433端口利用ipsec進(jìn)行屏蔽，只允許本機(jī)訪問。用云鎖的防火墻功能進(jìn)行攔截，并且可以掃描出被掛馬的文件。   5、 arp掛馬   用戶反映訪問網(wǎng)站的時(shí)候，殺毒軟件提示病毒，但是登錄服務(wù)器自己訪問http://127.0.0.1或本地ip，卻沒有發(fā)現(xiàn)被掛馬，但是所有用戶通過域名去訪問，就會(huì)有提示，可以通過服務(wù)器上進(jìn)行抓包分析，檢查是否能發(fā)現(xiàn)大量arp包，這種arp包通常是將服務(wù)器的mac地址轉(zhuǎn)向另一個(gè)ip，利用arp協(xié)議進(jìn)行掛馬，這種情況的花需要在交換機(jī)上進(jìn)行mac和ip地址綁定，在交換機(jī)上進(jìn)行配置以后。   6、 域名劫持掛馬   直接在服務(wù)器通過ip訪問就正常，用戶通過域名訪問就是提示有病毒，此時(shí)ping 自己網(wǎng)站域名的時(shí)候，如果顯示的ip和真實(shí)的不一樣，需要趕緊查看域名解析是否被修改，登錄域名管理后臺(tái)，修改為正常的，并且修改管理密碼。   7、 后臺(tái)程序掛馬   更新網(wǎng)頁的后臺(tái)程序，一般會(huì)使用一些熟悉的路徑，例如：   http://www.xxx.com/admin/   http://www.xxx.com/login/   http://www.xxx.com/manage/   這種后臺(tái)程序的鏈接雖然不公開給用戶，但是經(jīng)常容易被猜到，那么這種情況下，后臺(tái)的用戶名密碼可以利用暴力破解的工具來窮舉，理論上說破解只是時(shí)間問題，攻擊者登錄后臺(tái)以后，就可以很方便的直接修改內(nèi)容進(jìn)行掛馬，往往修改后臺(tái)地址路徑是個(gè)很費(fèi)勁的工作，因?yàn)樾薷穆窂揭院筮€需要考慮調(diào)整其他相關(guān)的程序，路徑都要改成一致，可以利用云鎖重定向功能完成。   網(wǎng)頁被植入惡意后門或者暗鏈、掛馬，雖然看起來直接影響的是網(wǎng)站訪問者，但實(shí)際上網(wǎng)站也會(huì)產(chǎn)生損失，例如搜索引擎的排名由于反復(fù)的中毒、關(guān)機(jī)重裝導(dǎo)致迅速滑落位置，甚至有時(shí)候直接被提醒含有惡意代碼，客戶久而久之也會(huì)慢慢流逝，所以需要盡早利用云鎖來解決這些問題。

更多的時(shí)候是慎重，多注意備份。多學(xué)習(xí)學(xué)習(xí)~ 以上就是如何查看網(wǎng)站被黑掛馬的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)和解決疑問有所幫助，也希望大家多多支持武林網(wǎng)。