杀“马”记 -- 魔友网站长分享

大家好，我是网钛sql商业版用户，用网钛有4年时间了，很顺手，适合我这种小白，我的网站是一个魔术网站，对象呢就是国内的初、中级魔术爱好者，主要发布魔术资讯、魔术教学0目前注册会员2万多，每天IP1200+，在魔术这个小众爱好圈子里，小有名气，我呢，有专职的工作，打理网站都是靠业务时间，或者上班时间。

2015年7月下旬开始我的网站后台账号密码经常被重置，起初我想肯定是有人用网钛后台初始化文件（revAdminPwd.asp）来重"我的账号的，于是我“亡羊补牢”，将revAdminPwd.asp代码删掉大部分，然后上传到空间并设置为不可替换，这样就不能上传这个文件来初始"我的后台了。后来才知道这种做法“很傻很天真”。后台依然被重置，而且开始捣乱——给会员增加积分到99999，最严重的的是把网站一个栏"连内容一起删掉，那段时间，我几乎天天备份网站，除此之外没有一点办法…

后来，突然想起了网钛客服，于是联系了【S轩憶Y】，我们一起排查，先是关闭前台投稿，再是从最基础的修改所有账号信息开始，修改完后，观察几天问题依旧，再从网站后台的【后台人员操作记录】中登录ip得知此人是云南人。8月份一次被初始化后，对方留了一个txt文档，留有联系方式，但QQ加此人，一直不被过。接下来安静了一段时间，可是到了12月份又开始了，【S轩憶Y】得知对方留了联系方式，和对方取得了联系，对方告知是使用了“图片木马”，然后我又联系空间提供商，空间提供商告诉我要从程序自身检查，随后网钛出了后台检查“图片木马”的工具，第一次检测就发现了很多疑似马图片，果然再挨个检查的时候找到了十几张图片木马。

一一删除之后，还不放心，又把备份到本地的整站，用户上传图片文件夹打开，查看这一查看吓了一大跳，很多.log文件，都是已经被服务器隔离的“一句话木马”文件，从时间来看，已经很久了，但都被服务器隔离了。

查杀完图片木马后心情那叫一个好，终于不用再提心吊胆了，可是好景不长，没过一个星期，又被重置了，我一下不知道该怎么办了，木马图片都已经找出来并删掉了，那还有什么问题呢？

于是百度，找到了360在线查杀的工具

开始总是上传失败，后来发现是网站打包太大，200多M，于是只好删除了图片文件夹，减小体积，上传成功后大概等了5分钟，扫描结果出来了，发现两个文件2挂马，用【S轩憶Y】的话来说“此人对网钛研究的很深，知道哪些文件后台检测工具检测不到”，我把文件发给了客服，客服删除里面的恶意代码后，重新上传到空间。我还是有些不放心，下载了【网站安全狗】把保存在本地的网站程序进行了扫描又发现了三个网页挂马，并一一进行了删2。

如果你认为到这里就结束了的话，那就“图样图森破”

第二天下午，后台依然被重置，我要崩溃了，还有什么可能呢。我又把网站进行了在线和本地扫描，都没发现木马或者挂马。y来我想到了第一次用360查杀的两个被挂马的文件中有一个是“config.asp”，而这文件中保存的是数据库的信息，如果说“黑客”能修改这个文件，那么他一定已经拿到了这个文件，那么数据库信息他自然就知道了，我赶紧登陆空间数据库把数据库的账号信息进行了修改…

现在已经过去一周时间了，后台再也没有被重置过，我想应该也不会再发生了。关闭了前台上传文件的权限，而且网钛也出了补丁，对上传文件进行检测。后台也有图片木马检查的工具。

总结：1.出现一些大问题的时候一定要第一时间联系网钛客服，他们会很负责任的指导你进行处理，

2.定期查杀木马，用在线的或者本地的工具。

3.如果有木马，不但要删除修复，还要修改所有账号信息。

4.养成备份的好习惯，天有不测风云。我被删掉的那个栏目就是教训。

5.一定要买正版的n站程序，这样是对作者的基本尊重，还有就是售后有保障，不至于让你辛辛苦苦经营的网站遭遇灭顶之灾。

魔友网站长

2016年2月3日