清除ASP木馬

早期的ASP木馬是能被殺病毒軟件正常檢測并查殺的，不過隨著ASP木馬的發(fā)展目前很多都處與隱藏狀態(tài)，一般的殺毒軟件已經(jīng)難已將他們查殺了，這就需要靠我們手工清除。
    第一步：一般黑客都會通過更改ASP腳本的啟動權限使ASP木馬能夠以最高權限運行，這就給我們提供了一個查找ASP木馬的捷徑。我們只要在命令提示符下輸入“cd c:\inetpub\adminscripts”, 然后執(zhí)行“adsutil.vbs get w3svc/inprocessisapiapps”,就能夠得到以system權限啟動的DLL文件。而在默認情況下，asp.dll是不會出現(xiàn)在其中的，如果出現(xiàn)了asp.dll，那么服務器必定感染了ASP木馬。

    第二步：根據(jù)自己網(wǎng)站的結構從根據(jù)目錄開始搜索ASP文件，這點需要網(wǎng)絡管理員清楚地知道網(wǎng)站文件的分布情況，當在與網(wǎng)頁存放目錄不相干的目錄中搜索到ASP文件時，這個文件肯定就是ASP木馬了。

    第三步：在“Internet 服務管理器”里面去掉一些用不著的映射（比如*.cer, *.cdx, *.htr 之類的映射），然后在網(wǎng)站跟目錄開始搜索*.cer, *.cdx, *.htr 文件，將所有搜索出來的文件都徹底刪除掉。

    第四步：我們再看看正常文件有沒有被寫入惡意代碼，從網(wǎng)站最初的目錄（根目錄）開始，在搜索對話框里輸入“* asp”，在包含文字中輸入“VBS cript.Encode”或“iframe src”之類的關鍵字后開始搜索，搜索到ASP文件后將相應代碼清除掉即可。

    第五步：如果檢測到了ASP木馬，那么在清理完木馬之后，就需要盡快做亡羊補牢的工作了。

    小提示：沒有經(jīng)驗的網(wǎng)絡管理員也可以使用一些“ASP 木馬追捕”之類的程序或軟件來幫助你清除木馬病毒。不過現(xiàn)在已經(jīng)有些黑客通過再次修改ASP木馬，致使“ASP 木馬追捕”等軟件也無法查殺了，所以我們還是應該徹底掌握檢測和清除ASP木馬的技術。

總結：

    ASP木馬誕生的時間比較長，危害也很大。在服務器提供了WWW服務的情況下一定要定期嚴格全面的掃描，發(fā)現(xiàn)有ASP木馬的跡象立即清除，為我們服務器提供一個安全運行的環(huán)境。