《动网论坛》如何查杀和防范木马[图]

首先，在这里感谢"黑客"们，动网发展的过程中确实抹不去他们的身影。这里之所以打上引号，并没有贬低的意思，而是指那些真正精通代码的，凭自己精深的技术发现和利用程序漏洞的人，他们一般并不做什么破坏，只是在研究中找到乐趣。我个人认为正是他们的存在促进了技术的快速发展。而对于普遍存在的"工具使用者"一族，他们大多数除了做些捣乱、破坏并自封为黑客等另人厌恶的事情外，似乎一无所长。

言归正传，最近一些黑客研究动网论坛代码发现通过某种欺骗方式可以绕过程序上传任意文件，再利用上传的恶意代码几乎可以做到他想做的一切事情。这个漏洞影响的动网论坛版本是7.0sp2以前的所有版本，同时理论上也影响任意使用了类似程序开发的所有站点。针对此漏洞，动网强烈建议您马上升级到最新版本，相关地址如下：

http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=704362&page=1

如果你不幸已经中标，我根据经验提供一些针对动网论坛的简单的查杀恶意代码(木马)的方法，查杀的效果和你付出的细心程度是成正比的，准备好你的耐心，跟我一步步走。

俗话说知己知彼，百站百胜。要想查木马，首先要了解自己的网站结构，其次要了解木马大概的组成。一个好的网站结构能快速的确定非法的文件，一个糟糕的结构会让你自己都头晕，简单来说就是文件分类归放，及时删除过期的和测试的文件，这个话题不是我们今天的重点，有兴趣的朋友请自行查找。木马的构成就复杂多变了，一般会根据功能的不同而以各种形式出现，小一点的用几十个字符就可以搞定。要查木马不需要很多工具，一个Ftp软件加上Windows自带的搜索功能，再有个文本编辑器如Windows带的记事本就齐备了。Ftp软件建议用FlashFXP，在查木马方面他有些功能比较实用。

2004-5-26 21:10:36，小黑告诉我他的论坛首页被人改了，我马上登陆他的网站，发现论坛首页文件被改，找他要来Ftp帐号密码，登陆Ftp仔细查看。他的空间只放了一个动网论坛，根据页面被改的情况分析应该是被人上传了木马程序修改，于是我打开FlashFxp，选择工具，选择在FTP服务器上查找文件，图1。

一般木马应该是asp文件，我在名称那里输入*.asp，点立即查找，图2。

耐心等待了一会，结果出来了，我点了一下"于文件夹"让查找的文件以文件夹方式排列。由于采用的是动网论坛，网站结构比较清晰，除了根目录和INC目录外，其它目录不应该存在任何asp文件，现在在UploadFace目录下存在一个可疑文件haha.asp，我又点了一下"修改时间"以最后修改时间排列，发现这个文件是最新修改过的，确实非常可疑，为了不错删，于是我选中它，在选查看，用查看源代码的方式确定它确实是个木马程序，既然确定了就不要犹豫，删！图3。

想到IIS还映射了其它类型的文件被asp.dll解释，我就如图2般又搜索了*.cer，*.cdx，*.asa，*.htr，这些文件找到一个就删一个，因为程序根本用不着他们。

嘿嘿，没想到没用2分钟就解决了问题，我正在得意，突然想到如果黑客修改了正常的文件增加了恶意代码怎么办？文件内容用Ftp可没办法查，只能全部下回来了查了，upload那几个目录有好几百M，我就不下了，只要确保里边没有asp等可执行文件就行，数据库也不用下了，其它文件都通通下回来。图4。

小黑在催我了，他想论坛尽快开通，他用的是官方原版程序，我就先删除老程序，图5，

打开Windows的搜索功能，要搜索的文件名写*.asp，想到很多木马都有这行代码"LANGUAGE = VBScript.Encode"，而动网论坛是不用这行代码的，于是我输入"VBScript.Encode"来查找所有含有"VBScript.Encode"的asp文件，嘿嘿，果然找到几个，图6。

我提供的关键词不一定是最全的，希望有经验的朋友继续提供，我会随时更新关键词列表。