0奇思妙想0 - 2010-3-9 11:12:00
网站挂马说明
|
木马网址:http://www.chinaart8.com/school/show_schoolnews.asp?id&# | 攻击说明: | 该网站试图将木马病毒植入用户的电脑。
病毒名:Suspicious.Trojan-Downloader.Unescape.ShellCode.b
缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生,溢出代码利用者利用溢出构造特殊的溢出代码,使得程序返回到溢出者期望的位置执行溢出者定义的代码,来实现木马下载和运行的目的。
提升攻击说明不知道如何修改程序!
|
|
挂马URL总数:282
近期每个 images 文件夹下都会多出一个 gifimg.php 文件
网站上上传也只做了图片类型的限制。
辑器部份:
数据库名字也改过了,
后台密码用户名全改掉过了,
并删除了所有admin_开关的文件,
upload.asp的过虑这里也弄过了,
FTP密码也改过。
结果还是被挂马!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQPinyinSetup 614; GreenBrowser)
networkedition - 2010-3-9 11:14:00
gifimg.php 打包发送上来看一下。
0奇思妙想0 - 2010-3-9 11:19:00
你的FTP 密码被泄露了
http://www.scammeralert.info/web ... -php-base64_decode/
我在国外一网站看到的解决办法 (同服务器 别人的网站OK 就自己有问题)
1 先清理木马和后门,把自己的电脑好好杀下毒
2.换空间的密码 后台的密码 ,换一个FTP软件(我的FTP软件染马了)
我试过,但是还是没效果?
networkedition - 2010-3-9 11:23:00
gifimg.php 是php木马后门,将这个文件删除。附件我删除了,为了防止此文件被他人利用。
0奇思妙想0 - 2010-3-9 11:27:00
问题你能帮我看下是怎么回事。你只要搜索百度 gifimg.php 关键词也有很多人遇到过。至于如何解决还没说明白。
百度贴吧有个贴讨论的比较级多。问题还是没解决
http://tieba.baidu.com/f?kz=669379573
networkedition - 2010-3-9 11:27:00
晕,lz怎么自问自答:kaka6:
networkedition - 2010-3-9 11:30:00
原因找到了呀,黑客就是利用那个php文件(也就是webshell呀),通过那个文件来上传大马呀,完了执行挂马呀。你将后门删除了。防范建议网站目录少给写入的权限。
0奇思妙想0 - 2010-3-9 11:36:00
问题是程序上传的东西都关闭了。还能传上去。而且把执行PHP的脚步也关闭了。还能执行。
networkedition - 2010-3-9 12:33:00
程序漏洞不见得是上传,还可能是注入写入文件或者是远程包含之类的都可能导致被写入文件
0奇思妙想0 - 2010-3-10 10:26:00
你能说些更具体些,比如 shellcode溢出攻击 主要怎么解决!尽量详细些!谢谢 。或者有动画看是最好不过了。
networkedition - 2010-3-10 11:06:00
如果网站代码有注入漏洞,那就要自行检查网站代码呀。那个shellode溢出攻击只不过是利用了系统的漏洞而已,涉及到的是客户端。客户端要想访问了被挂马的网站,而不中毒,一是要安装安全类的软件,二打全系统的所有补丁,包括第三方软件的补丁。
© 2000 - 2024 Rising Corp. Ltd.