手里一個(gè)客戶網(wǎng)站最近一打開(kāi)就會(huì)在網(wǎng)頁(yè)頂部出現(xiàn)黃色信息，刷新一次或者重新打開(kāi)一個(gè)頁(yè)面后黃色信息消失不見(jiàn)。右鍵查看網(wǎng)頁(yè)源文件發(fā)現(xiàn)在正規(guī)網(wǎng)頁(yè)HTML前面加入了黃色內(nèi)容的HTML，但是去服務(wù)器上查看網(wǎng)站源文件的時(shí)候發(fā)現(xiàn)網(wǎng)站源文件都是正常的，讓我很是郁悶。下面分享下解決方法：
 
先上圖，打開(kāi)網(wǎng)站就會(huì)先出現(xiàn)如下黃色圖片，下面再出現(xiàn)網(wǎng)站真實(shí)內(nèi)容：

經(jīng)過(guò)青島星網(wǎng)嚴(yán)格排查終于發(fā)現(xiàn)了這個(gè)網(wǎng)站木馬的根源所在，下面就跟大家一起分享一下這個(gè)網(wǎng)站木馬的工作原理：
 
1、類似木馬首先會(huì)在網(wǎng)站根目錄加入一個(gè)新的文件名字叫：Global.asa,頂部并且加入了 一句：《script language="vbscript" runat="server"》。大意就是在瀏覽網(wǎng)站的時(shí)候先執(zhí)行這個(gè)文件里的代碼。
 
2、運(yùn)用了心理學(xué)，在加入這句代碼之后回車了很多次，導(dǎo)致下面一片空白，我第一次打開(kāi)這個(gè)文件的時(shí)候發(fā)現(xiàn)什么都沒(méi)有就關(guān)閉了，其實(shí)不然，代碼被寫在了最底部，如果不注意右側(cè)滾動(dòng)條的話真不容易發(fā)現(xiàn)。
 
3、木馬的核心技術(shù)，在底部代碼里運(yùn)用了application 對(duì)象啟動(dòng)的時(shí)候執(zhí)行一個(gè)過(guò)程，在過(guò)程里運(yùn)用了XMLHTTP技術(shù)遠(yuǎn)程讀取了木馬文件加載然后用ADODB.Stream對(duì)象寫入網(wǎng)頁(yè)。我經(jīng)常使用XMLHTTP技術(shù)來(lái)生成HTML文件，沒(méi)想到原來(lái)還可以這么用，怪不到我全盤搜索木馬標(biāo)簽竟然沒(méi)有發(fā)現(xiàn)。不得不說(shuō)寫的這個(gè)木馬病毒挺有創(chuàng)意的。

4、解決方法：發(fā)現(xiàn)可能是利用了fckeditor編輯器的上傳漏洞，我解決方法如下：fckeditor這個(gè)編輯器里有一個(gè)文件commands.asp，大概路徑是/fckeditor/editor/filemanager/connectors/asp/commands.asp。在這個(gè)文件里找到FileUpload這個(gè)過(guò)程，在大概151行這個(gè)位置把原來(lái)的 If oUploader.ErrNum > 0 Then sErrorNumber = "202" 改成If oUploader.ErrNum > 0 or instr(oUploader.File( "NewFile" ).Name,".asp")>0 Then sErrorNumber = "202"。這個(gè)樣子修改后部知道網(wǎng)站是否還會(huì)感染病毒，我們拭目以待，如果網(wǎng)站在此感染病毒，青島星網(wǎng)會(huì)第一時(shí)間與大家分享解決之道！