网站挂马检测及清除

介绍

很多网站都被挂过马，挂马即在获取服务器的部分权限或所有权限后，向网页文件中插入一段恶意代码，即挂马。这些恶意代码可以是浏览器漏洞的利用代码，也可以是赚取流量的代码，或者是盗取账号的代码。

URL Snooper

url snooper字面理解即url窥探，官方说明是可以帮助用户发现音频和视频文件的url地址。下载地址是http://www.donationcoder.com/software/mouser/popular-apps/url-snooper。安装后它会建议你输入密钥，不输入也可以，软件是不收费即可免费使用的，点击dismiss按钮暂不考虑密钥进入即可。

进入后url snooper会自动检测网卡，以确定是否正常连接网络，我们为了使用方便，可以在语言栏设置语言为中文。

首先在protocol filter处选择所有类型，然后点击下方的嗅探网络，这时通过ie来访问相关的url，url snooper便会捕捉到进行分析。

我们可以点击url然后查看其内容，判断检测到的url是否可疑，除了嗅探url地址，我们也可以手动输入，这里我就本地用localhost做示例，在1.html中script引入了一个url，如下图。

url snooper本身是用来发现音频视频地址的，因为对url检测和发现功能很好用，我们可以用来检测网页中的敏感url，随后再手动确认是否为挂马连接，有些挂马链接可能是经过编码的，我们直接在线解码即可。

对于挂马链接有时可能是一个网页或者一段js代码，我们可以直接访问获取，可以便于我们分析马代码利用的是哪些漏洞等，同时也可以借助一些网站下载工具（Teleport Ultra等等）来下载挂马链接上的资源，辅助我们的分析。

D盾

我们可以使用D盾来进行web查杀，免费软件，运行平台是windows，网址是http://www.d99net.net/，进入后选择相应的目录即可进行扫描，如下图。

D盾也提供了其他的一些防御机制，例如cc，sql注入，xss，文件上传等，只不过只针对iis搭建的网站，我们这里如果是iis可以直接运行d盾启动，如果不是也可以使用d盾进行恶意代码的查杀。

清除恶意代码

清除网站恶意代码，首先需要确定哪些文件被挂了马，一个是可以直接查看代码，相当于代码审计，找到挂马的代码。二是查看网站目录修改时间，通过时间进行判断。三是文章上面的方法，通过软件定位。

对于查看网站目录修改时间，我们可以使用windows系统自带的搜索，默认情况下win管理器是没有搜索栏选项的，需要把光标定位到搜索栏，搜索框才会出现，如下图。

通过上面几种方法定位到挂马文件后，删除相应代码即可，这里注意的是不建议用网页编辑器，避免感染木马的可能性，使用记事本或其他本地编辑器即可。