攻防实战：网络维护过程中的渗透与反渗透

我的一个朋友告诉我，说他们在访问自己公司网站时，出来一大堆东西，而且杀毒软件还提示网页存在病毒， 我的第一感觉就是公司服务器被人入侵了。

（一）网站挂马检测和清除

1.使用软件嗅探被挂马页面

朋友将远程终端和公司网站名称告诉我后，我首先在虚拟机中使用URLSnooper软件对网站进行嗅探，果然网站多处文件被人挂马，如图1所示。登陆远程终端后，一看其服务器配置较高，带宽是20M光纤，访问网络的速度非常快，觉得是高质量肉鸡的首选，也难怪被人黑。

图1 使用URLSnooper监听网站所有链接和访问

说明：

（1）URLSnooper是一款安全检查工具，就其名称意义就知道该软件是URL监视，个人感觉是一款捕捉网站是否挂马的好程序。URLSnooper安装比较简单，安装完毕后需要安装默认的抓包软件。

（2）确认网站被人挂马后，首先将网站文件进行了备份。

直接到网站根目录查看网站文件的最近的一些修改时间，从首页更改的时间为8月25日，因此可以借助系统的文件搜索功能搜索2008年8月24日至8月26日之间的文件，如图2所示，搜索出来好几十个文件，被修改文件很有特点，index.html、index.asp、conn.asp、top.asp、foot.asp以及js文件均被修改，从文件中可以看出该挂马人绝对是一个团伙或者是一个老手，他不是对所有文件进行挂马，而是有针对性的对一个关键文件进行挂马。