网站中木马病毒：打开出现黄色内容 刷新后消失

手里一个客户网站最近一打开就会在网页顶部出现黄色信息，刷新一次或者重新打开一个页面后黄色信息消失不见。右键查看网页源文件发现在正规网页HTML前面加入了黄色内容的HTML，但是去服务器上查看网站源文件的时候发现网站源文件都是正常的，让我很是郁闷。下面分享下解决方法：
 
先上图，打开网站就会先出现如下黄色图片，下面再出现网站真实内容：

经过青岛星网严格排查终于发现了这个网站木马的根源所在，下面就跟大家一起分享一下这个网站木马的工作原理：
 
1、类似木马首先会在网站根目录加入一个新的文件名字叫：Global.asa,顶部并且加入了 一句：《script language="vbscript" runat="server"》。大意就是在浏览网站的时候先执行这个文件里的代码。
 
2、运用了心理学，在加入这句代码之后回车了很多次，导致下面一片空白，我第一次打开这个文件的时候发现什么都没有就关闭了，其实不然，代码被写在了最底部，如果不注意右侧滚动条的话真不容易发现。
 
3、木马的核心技术，在底部代码里运用了application 对象启动的时候执行一个过程，在过程里运用了XMLHTTP技术远程读取了木马文件加载然后用ADODB.Stream对象写入网页。我经常使用XMLHTTP技术来生成HTML文件，没想到原来还可以这么用，怪不到我全盘搜索木马标签竟然没有发现。不得不说写的这个木马病毒挺有创意的。

4、解决方法：发现可能是利用了fckeditor编辑器的上传漏洞，我解决方法如下：fckeditor这个编辑器里有一个文件commands.asp，大概路径是/fckeditor/editor/filemanager/connectors/asp/commands.asp。在这个文件里找到FileUpload这个过程，在大概151行这个位置把原来的 If oUploader.ErrNum > 0 Then sErrorNumber = "202" 改成If oUploader.ErrNum > 0 or instr(oUploader.File( "NewFile" ).Name,".asp")>0 Then sErrorNumber = "202"。这个样子修改后部知道网站是否还会感染病毒，我们拭目以待，如果网站在此感染病毒，青岛星网会第一时间与大家分享解决之道！