解析网页后门与网页挂马(9)

网页挂马

regsvr32.exe /u /s "C:Program FilesCommon FilesSystemadomsado15.dll"

注：如果想恢复的话只需重新注册即可，例如：regsvr32 %windir%system32WSHom.Ocx

2、清理网页挂马

(1)利用雷客图ASP站长安全助手查找所有在2008-3.1日-2008.3.5日之间所有修改过的文件里是否有iframe语句和/a.htm关键词，进行手工清理。

(2)也可利用雷客图ASP站长安全助手批量删除网马。

(3)检测JS文件，在2008-3.1日-2008.3.5日之间增加的JS文件全部删除。(图9)

从分析报告可以看到网站的admin路径下发现lb.asp网页木马，经分析为老兵的网页木马。(加密后依旧能通过特征码分辨，推荐网站管理员使用雷客ASP站长安全助手，经常检测网站是否被非法修改。)

提示：雷客图ASP站长安全助手可以帮助站长分析网站的安全状况，但是一定要更改它的默认用户名和密码。

3、解决eWEBEditor编辑器安全隐患

由于网站在开发时集成了eWEBEditor编辑器，删除或者替换容易导致其他问题的出现，推荐按如下方案解决：

(1)修改该编辑器的默认数据库路径和数据库名，防止被黑客非法下载。

默认登录路径admin_login.asp

默认数据库db/ewebeditor.mdb

(2)修改编辑器后台登录路径和默认的登录用户名和密码，防止黑客进入管理界面。