网站被挂马、哎！“出来混，早晚要还的”

马，又是木马、从来只有小向黑别人没人别人黑小向，靠、今天网站被挂马了、伤心啊以前都是小向去黑别人的站，现在被别人黑了、哎，有句话说的好“出来混，早晚要还的”，呵呵、可能是DJ小向以前坏事做多了吧。我不怪黑我网站的这位朋友、只怪小向自己不注意、ZBLOG个人感觉还是没有什么漏动的、就算有漏这位朋友不知道怎么下手、除非“暗网、饭客、Hake58、黑鹰”里面一些牛人，我相信他们有这个技术，同时让他别人黑小弟这小站，我想应该没可能的!  虽然小向1年前就没有干这行了、但是还是很崇拜这些牛人的、就像现在在做SF那个牛人！话不多说、接下来分享下小向清木马的过程!

先展示下小向这次中马过程、包括中了什么马：
  今天早上上班后不少朋友包消息我、说我的网站打开速度慢、半天打不开/自己打开试了下，还真是很慢、但只是慢还是可以打开、第一反应、靠！新网那垃圾DNS又出问题了（我是新网的域名）、结果ping了下网站域名、正常！

 在用网络测试：http://www.webkaka.com/   全部超时、后来才知道网站出问题了！！

  打开网站看了半天、没看出原因来、后来点击内页才知道整个网站只有首页卡、内页正常没受影响.Q空间商，空间商给出的答应是在“本地”打开都慢，这行没有办法了、知道是程序出来问题、小向自己对ASP又不杂了解，只知道改改! 反复看网站代码、终于找出网站那里出问题了! 网站被人黑了、还不是挂了黑链直接把我整站做了采集、这个采集不是那种远程采集而是缓荐采集、而且手段很高明。

因为是ZBLOG、他直接在我根目录default.asp文件中加了一行很隐藏的代码 

直接调用TOP.asp文章 他这里做了两层调用、其它调用后代码中分两种语言：UTF与gb2312 

              前面三个是这个采集程序文件， 后面那两个是他这次上传的木马。

 共中两个马里面有一个是锁权限的、也就是说如果用这个马锁了主页或目录、那么就算你用FTP改权限都不行、只有联系空间商才在服务器上面才可以帮你解决权限问题！这个马里面这个功能很狠、因为当他自己锁了权限后、连自己也不可以解除、也就是说当锁死后、就只有空间商可以解除、其实他这里就是把所有用户的"R，W，X"权限会部删除！

哎、网站马是被清了、这次给小向一个教训!  小向在买空间的时候、那个FTP密码是654321 今天一看还是那个密码！ 哎、设置个这样的密码不被FTP扫描工具扫到才怪! 小向在这提醒大家、以后买玩空间后一定要改FTP密码、因为很多密码都是默认的、要不就是888888、要不就是123456 等、万网这点做的不错、他们的FTP密码是用CS随机生成的、我手里有几个客户空间用了几年、还是当时默认的密码、还有一点要提示大家、现在用CMS人越来越多了、CMS系统也有很多是在用默认密码、反正后台地址最好不要用admin 这样的帐号！！