浅谈站长如何排除网站挂马

luxunlove

昨晚深邃网友一诺小朋友向我报告说友情链接有一个网站有木马，我一看，晕，那个不是我正在帮朋友做关 键词优化的QQ个性签名么?一开始以为只是杀软误报，加上我也没有装杀毒软件(一直没中过病毒)，所以就没怎么管他?

　　今天起来用新手机((*^__^*) 嘻嘻……，俺买了黑莓8100)打开百度搜索一下QQ个性签名，晕，排名不知道掉到第几页了。我就郁闷了，自己的SEO优化一直都是很温柔的上的啊，怎么会被降权了?于是就猜想可能真的被挂马了，因为是也算是刚认识的朋友，当然要帮忙处理一下这些琐碎的问题啦。回来之后，马上启用德国杀软小红伞，“滴滴”两声，打开QQ个性签名的时候报警了。于是打开html代码查看，既然没有iframe，这就奇怪了。于是清理缓存再次打开网页，根据小红伞提供的资料找到了报警的文件：info[1].js，打开得到下面的代码：
var az=document.cookie;
var za=az.indexOf(”qqqq”);
if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”qqqq=web;expires=”+expires.toGMTString();
document.writeln(””);window.status=” “;}
我想问题应该出在js代码上，于是在代码搜索js，一个是51la的统计的js，另外一个是div.js，51la的自然可以排除，所以我就打开div.js,然后看到了下面“此地无银三百两”的网址代码（红色字体的），一路跟踪下去，果然发现可疑迹象。

// JavaScript Document
function showdiv(divnum,divbefor,id){
for(i=1;i

继续iframe跟踪：http://kkwwkkc.cn/10/123.htm
打开得到如下王八代码：

　　鄙人才疏学浅，看不懂转化了的代码啥意思，不想去转换，知道被挂马就ok了，最后是跟朋友说让他去掉那个代码，清理缓存重新打开网页，ok，没问题了。
　　写这篇文章的用意在意告诉各位，要注意自己网站的安全，如果发现挂马，不要错过每一个细节，首先仔细检查html页面有没有调用其他莫名的网站的东西，然后仔细分析自己页面的js代码，iframe是黑客们最常用的手段。实例一篇，希望对各位有用。这是我第一次抓马，经过自己的分析既然抓到了，很开心，特此分享……