手里一個(gè)客戶(hù)網(wǎng)站最近一打開(kāi)就會(huì )在網(wǎng)頁(yè)頂部出現黃色信息，刷新一次或者重新打開(kāi)一個(gè)頁(yè)面后黃色信息消失不見(jiàn)。右鍵查看網(wǎng)頁(yè)源文件發(fā)現在正規網(wǎng)頁(yè)HTML前面加入了黃色內容的HTML，但是去服務(wù)器上查看網(wǎng)站源文件的時(shí)候發(fā)現網(wǎng)站源文件都是正常的，讓我很是郁悶。下面分享下解決方法：
 
先上圖，打開(kāi)網(wǎng)站就會(huì )先出現如下黃色圖片，下面再出現網(wǎng)站真實(shí)內容：

經(jīng)過(guò)青島星網(wǎng)嚴格排查終于發(fā)現了這個(gè)網(wǎng)站木馬的根源所在，下面就跟大家一起分享一下這個(gè)網(wǎng)站木馬的工作原理：
 
1、類(lèi)似木馬首先會(huì )在網(wǎng)站根目錄加入一個(gè)新的文件名字叫：Global.asa,頂部并且加入了 一句：《script language="vbscript" runat="server"》。大意就是在瀏覽網(wǎng)站的時(shí)候先執行這個(gè)文件里的代碼。
 
2、運用了心理學(xué)，在加入這句代碼之后回車(chē)了很多次，導致下面一片空白，我第一次打開(kāi)這個(gè)文件的時(shí)候發(fā)現什么都沒(méi)有就關(guān)閉了，其實(shí)不然，代碼被寫(xiě)在了最底部，如果不注意右側滾動(dòng)條的話(huà)真不容易發(fā)現。
 
3、木馬的核心技術(shù)，在底部代碼里運用了application 對象啟動(dòng)的時(shí)候執行一個(gè)過(guò)程，在過(guò)程里運用了XMLHTTP技術(shù)遠程讀取了木馬文件加載然后用ADODB.Stream對象寫(xiě)入網(wǎng)頁(yè)。我經(jīng)常使用XMLHTTP技術(shù)來(lái)生成HTML文件，沒(méi)想到原來(lái)還可以這么用，怪不到我全盤(pán)搜索木馬標簽竟然沒(méi)有發(fā)現。不得不說(shuō)寫(xiě)的這個(gè)木馬病毒挺有創(chuàng )意的。

4、解決方法：發(fā)現可能是利用了fckeditor編輯器的上傳漏洞，我解決方法如下：fckeditor這個(gè)編輯器里有一個(gè)文件commands.asp，大概路徑是/fckeditor/editor/filemanager/connectors/asp/commands.asp。在這個(gè)文件里找到FileUpload這個(gè)過(guò)程，在大概151行這個(gè)位置把原來(lái)的 If oUploader.ErrNum > 0 Then sErrorNumber = "202" 改成If oUploader.ErrNum > 0 or instr(oUploader.File( "NewFile" ).Name,".asp")>0 Then sErrorNumber = "202"。這個(gè)樣子修改后部知道網(wǎng)站是否還會(huì )感染病毒，我們拭目以待，如果網(wǎng)站在此感染病毒，青島星網(wǎng)會(huì )第一時(shí)間與大家分享解決之道！