木马服务器

1、服务器被中了木马,如何清除?

这是一种典型的挂马，黑客将你的服务器攻陷后(有时甚至不用攻陷），通过修改你网站代码，来达到抓肉鸡，赚取点击量或者其他什么目的。
首先，第一次出现的代码是比较原始的窗口弹出（就是将"http://iisa1.eyesir.net:7777/gethostjs.php"中的广告以窗口方式弹出）而第二次的代码是经过修改的（实际上也是达到同样的目的，但通过修改代码，用等价代码替换，可以绕过杀软的查杀,但庆幸的是最后还是被查杀了）
要做到这个其实不难，这个黑客最有可能是通过注入，得到网站后台密码，再上传木马，得到webshell，在通过webshell来上传修改过的网站源码。另外，跨站方式也是有可能的，如果你的服务器有多个网站，黑客就可以通过别的网站来控制服务器，进而修改你的网站。还有其他方式比如弱口令等，但概率不大。
我推荐你一个黑客工具：啊D，你到网上搜一下，下载下来，可以用它来检测你的网站是否有注入漏洞。
最后提醒你一句：自从出现了黑客，网站都没有绝对安全。既然黑客已经入侵了你的服务器，说明你的网站绝对有漏洞，要尽快修补。还有，按照惯例，黑客入侵后一般会在服务器中留后门或是木马（而且很有可能经过免杀，杀软查不出来），你即使将刚才几个东西删除了，黑客还有可能卷土重来。最后，即将广告代码删了，保不齐黑客还会在服务器中留其他挂马语句（而且被修改的更变态，杀软无法查出,或是这句挂马语句不是用来弹窗的，而是用来植入木马的，这种挂马如果做得好根本没有任何外在表现）
祝你好运。
（纯手工答复）

2、服务器中了木马

查杀木马，最好还是用木马专杀软件，360在查杀木马上有时候确实不太好用，你可以试一试木马清道夫2010，10年最新版本，木马查杀、恶意网站拦截、防木马盗号等各种功能功能都更加强大和完善，是一款不错的专业杀毒杀木马软件，而且使用方便快捷，希望能帮到你。

3、出现木马主犯c&c服务器什么意思

请尝试使用安全软件进行扫描，设备中存在木马一般是不良的上网习惯或者下载陌生的软件导致的。设备中存在木马一般的表现是自动下载其他垃圾软件、系统卡顿或者出现延迟、出现有遮挡的广告等问题。

若怀疑手机中存在木马或者病毒，请尝试按照以下步骤请尝试安装一款安全软件（例如：手机管家等）。以手机管家为例，打开手机管家，点击主界面上的一键体检即可自动检测手机中存在的问题，并且给出处理建议，点击一键清除即可删除病毒程序。

若怀疑电脑中存在木马，请尝试下载一款安全软件（例如：电脑管家等）进行全盘扫描和清理即可。也可以尝试下载木马专杀程序对电脑进行清理。若依然无法处理请尝试将硬盘全部格式化然后重新安装系统。

4、什么是木马服务端?

首先应该明确的是受害者的机器上运行的木马程序我们称之为服务端，控制者机器上运行的我们称之为客户端(其实对于现代的木马，已经很难说谁是客户，谁是服务了，不过我们还是继续用这种叫法)。另外虽然Windows9x仍然有巨大的用户基础，但是Windows9x向Windows XP迁徙只是早晚问题，所以这里的讨论主要是针对NT/2000/XP平台的。

1.使用TCP协议，服务端侦听，客户端连接

这是最简单，最早，最广泛使用的一种通讯方案。使用过冰河或者被冰河客户端扫过的对此一定不会陌生。这种通讯方案是服务端在宿主机器上开一个TCP端口，然后等待客户端的连接，在通过对客户端的认证后，客户端就可以控制服务端了。由于是建立在TCP协议基础上，所以通讯的可靠性是得到保证的。但是通讯的安全性却很成问题。首先，使用像fport,tcpview pro这样的工具可以很容易的发现在某一端口上侦听的进程，以及进程对应的可执行文件。其次，在安装了防火墙的机器上，当客户端连接到服务端时，很容易引起防火墙报警。

2.使用TCP协议，客户端侦听，服务端连接

这就是所谓的反向连接技术了。为了克服服务端在某一端口上侦听易被发现这一缺点，现在服务端不再侦听端口，而是去连接客户端在侦听的某一端口。这样用一般的port scanner或者fport就很发现不了服务端了。而为了更好的麻痹宿主机，客户端侦听的端口一般是21,80,23这种任何人都要访问的端口。虽然在安装了防火墙的机器上，服务端去连接客户端还是要引起防火墙报警，但是一个粗心的用户很可能会忽略“应用程序xxxxx试图访问xxx.xxx.xxx.xxx通过端口80”这样的警告。

这种反向连接技术要解决的一个问题是，服务端如何找到客户端。由于一般客户端都是拨号上网的，没有一个固定的IP，所以客户端IP不可能硬编码在服务端程序中。当然由于拨号上网用户的IP一般都是处于一个固定的IP地址范围内，服务端也可以扫描这个范围，然后根据被扫描主机的反馈来确定是否是自己的客户端，但是服务端扫描一个IP地址范围也太……另一个方法是客户端通过一个有固定IP或者固定域名的第三方发布自己的IP，实现的方法就很多了，比如通过一个公共的邮箱，通过一个个人主页，就看你有多大的想象力的。

3.使用UDP协议，服务端侦听，客户端连接;客户端侦听，服务端连接

方法和安全性与使用TCP协议差不多。需要注意的是UDP不是一个可靠的协议，所以，必须在UDP协议的基础上设计一个自己的可靠的报文传递协议。

4.解决防火墙问题，无论是服务端被动侦听，还是服务端主动连接，在服务端和客户端试图建立连接时都会引起防火墙得报警

毕竟粗心得用户不会很多，所以，解决防火墙报警是服务端必须要解决的一个问题。一种方法是代码注入，服务端将自己注入到一个可以合法的与外界进行网络通讯的进程(比如 IE, ICQ, OICQ, TELNTED, FTPD, IIS等)的地址空间中，然后或者可以以一个新线程的形式运行，或者只是修改宿主进程，截获宿主进程的网络系统调用(WinSock)。后者的实现可能要麻烦一些。如果是以新线程的形式运行，那么然后或者可以被动侦听，或者可以主动连接。

无论哪种情况都不会引起防火墙的报警(当然不是百分之百不会引起防火墙报警)。但要注意的是如果是被动侦听的话，比如寄生在IE内，用fport会发现IE在某一个端口侦听，这有可能会引起细心的用户的警觉。所以比较好得方法是在新线程内去主动连接客户端，而且连的是客户端的80端口;如果是寄生在OICQ内，何不连接客户端的8000端口。使用代码注入需要服务端具有若干特权，考虑到一般用户都是以Admin身份启动NT的，这应该不是一个问题(如果服务端是作为一个service启动的话，就更没问题了)。

5.再讨论一下服务端主动连接时客户端IP的公布问题

使用第三方公布客户端IP不是一种可靠的方法。比如如果是通过一个个人主页发布客户端IP的话，一旦由于种种原因，这个个人主页被主页提供商取消的话，服务端就找不到客户端了。而这种个人主页被主页提供商取消的可能性是很大的。同时客户端也要冒暴露自己的IP的风险。所以更好的方法是客户端通过某种方法主动告诉服务端自己的IP和端口，然后服务端来连接。这样可以保证最大的可靠性，安全性和灵活性。

服务端怎么收到客户端的通知呢?一种方法是我们截获其他进程收到的TCP数据或者UDP包，然后分析截获的数据，从中确定是否客户端发来了一个报告其IP的数据片断。另一种方法是使用RAW socket来收听ECHO REPLY类型的ICMP包，在ICMP数据包的数据去就包含了客户端IP。而对于普通用户来说，由于要上网浏览，这样的ICMP包是很少过滤掉的。

6.用ICMP来通讯

既然客户端可以通过发一个ICMP(ECHO REPLY)来告诉服务端它的IP，那为什么不把所有服务端和客户端的通讯都建立在ICMP的基础上呢?服务端向客户端发ICMP(ECHO REQUEST)，客户端向服务端发ICMP(ECHO REPLY)，然后可以在ICMP基础上建立一个自己的可靠数据报通讯协议。如果不怕烦的话，还可以建立一个TCP over ICMP。由于一般的用户这两类ICMP包都是设为无警告放行的，这种方法的隐秘性还是很强的。

7. 用自定义的协议来通讯

我们知道IP头的协议字段指定了这个IP包承载得数据的协议，比如TCP,UDP,ICMP等等。我们完全可以把这个字段设为我们自己定义的值(>80)，定义自己的通讯协议。不过估计这种IP包将会被所有的防火墙过滤掉。

8.关于服务器上的木马的通讯隐藏

前面所说都是针对个人用户(大部分都是拨号用户，包括Modem,ISDN,ADSL,FTTX+LA,Cable Modem)。对这类机器来说，一般都没有开什么服务，而且一般都使用了个人防火墙，同时ICMP ECHO REPLY/REQUEST都是放行的，所有才有我们上述的各种方案。而对于服务器来说，至少要开HTTP服务，同时，又一般位于专门的防火墙之后。这个专门的防火墙很可能过滤掉除类型为TCP，且目的端口为80的IP包之外的所有的IP包，更不要说各类ICMP包了。向下的方案通不过，我们可以试试向上的方案。一种方法就是注射到IIS服务的进程空间中，然后在IIS接受到木马客户端的请求前来个预处理，在IIS将数据发给木马客户端时来个后处理，不过我不知道怎么实现，不知哪为高手知道。

通讯隐藏技术只是木马隐藏诸技术中得一部分，但也是最重要的一部分。因为他不但要保护木马，还要保护木马得控制者，所以不管是木马编写者，还是防火墙编写者，都应该对这一部分给于足够的重视。

5、服务器中木马

建议安装服务器版的杀毒软件来解决这个问题，如服务器版的金山毒霸，定期杀毒即可。

6、怎么清除服务器上的隐藏木马病毒

这种病毒腾讯安全提到过
可以去下载安装一个腾讯御点
打开之后，使用里面的病毒查杀功能，直接就可以查杀这种电脑病毒了

7、木马主犯c&c服务器是什么意思

远程命令和控制服务器，目标机器可以接收来自服务器的命令，从而达到服务器控制目标机器的目的。该方法常用于病毒木马控制被感染的机器。

8、服务器中了严重的木马

虽然现在市面上有很多新版杀毒软件都可以自动清除大部分[木马]，但它们并不能防范新出现的[木马]程序。因此，查杀木马，最关键的还是要知道[木马]的工作原理。相信你看了这篇文章之后，就会成为一名查杀[木马]的高手了。
木马程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为[系统服务]可以很轻松地伪装自己。当然它也会悄无声息地启动，黑客当然不会指望用户每次启动后点击[木马]图标来运行服务端，[木马]会在每次用户启动时自动装载。Windows系统启动时自动加载应用程序的方法，[木马]都会用上，如：启动组、Win.ini、System.ini、注册表等都是[木马]藏身的好地方。
下面具体谈谈[木马]是怎样自动加载的。在Win.ini文件中，在[WINDOWS]下面，和[load=]是可能加载[木马]程序的途径，必须仔细留心它们。一般情况下，它们的等号后面应该什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中[木马]了。当然你也得看清楚，因为好多[木马]，如[AOL Trojan木马]，它把自身伪装成command.exe(真正的系统文件为command.com)文件，如果不注意可能不会发现它不是真正的系统启动文件(特别是在Windows窗口下)。
在System.ini文件中，在下面有个[shell=文件名]。正确的文件名应该是[explorer.exe]，如果不是[explorer.exe]，而是[shell= explorer.exe程序名]，那么后面跟着的那个程序就是[木马]程序，就是说你已经中[木马]了。
注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：[HKEY-LOCAL-ACHINE\Software\Microsoft\Windows\CurrentVersion\Run]目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的[木马]程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如[Acid Battery v1.0木马]，它将注册表[HKEY-LOCAL-MACHINE\SO FTWARE\Microsoft\Windows\CurrentVersion\Run]下的Explorer键值改为Explorer=[C:\WINDOWS\expiorer.exe]，[木马]程序与真正的Explorer之间只有与[l]的差别。当然在注册表中还有很多地方都可以隐藏[木马]程序，如：[HKEY-CURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run]、[HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run]的目录下都有可能，最好的办法就是在[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下找到[木马]程序的文件名，再在整个注册表中搜索即可。
知道了[木马]的工作原理，查杀[木马]就变得很容易，如果发现有[木马]存在，最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，程序]或[load=[木马]程序]更改为和[load=]；编辑system.ini文件，将下面的[shell=‘木马’文件]，更改为：[shell=explorer.exe]；在注册表中，用regedit对注册表进行编辑，先在[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下找到[木马]程序的文件名，再在整个注册表中搜索并替换掉[木马]程序，有时候还需注意的是：有的[木马]程序并不是直接将[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的[木马]键值删除就行了，因为有的[木马]如：BladeRunner[木马]，如果你删除它，[木马]会立即自动加上，你需要的是记下[木马]的名字与目录，然后退回到MS-DOS下，找到此[木马]文件并删除掉。重新启动计算，然后再到注册表中将所有[木马]文件的键值删除。至此，我们就大功告成了。

9、木马病毒是一个客户端一个服务器端吗

您好

1，如果是远程控制病毒的话，是通过控制台来控制的。

2，不过一般的例如自动关机、盗号木马就单单属于一个文件。

3，防止电脑中毒的办法很简单，就是到腾讯电脑管家官网下载一个电脑管家。

4，电脑管家拥有16层实时防护功能，可以从上网安全、应用入口、系统底层等全方位保护您电脑安全，针对各种黑客远控病毒等，电脑管家都有很强的针对防护能力。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

10、服务器中木马了。怎么办

任务管理器里面

用户选项卡里面，

你登陆只显示你电脑的计算机名或网络名，

如果显示多个肯定就有多人登陆了！

建议修改管理员密码和查找删除可疑帐户！