紧急求教：网站被挂马怎么也找不到哪被挂马，请高手帮忙
紧急求教：网站被挂马怎么也找不到哪被挂马，请高手帮忙

域名地址：http://www.newslist.com.cn

显示的是 域名扫描结果

网页： [img]file:///osroot://c://documents[/img] http://www.newslist.com.cn/html/jzjy/2009/0510/778.html检测时间：2009-9-25 22:34:32

木马网址：http://cm2.kmip.net/05/yt.htm
shellcode溢出攻击

木马网址：http://cm2.kmip.net/05/nYnTd14.htm
Ms06-014漏洞

木马网址：http://cm2.kmip.net/05/nYnTd14.htm


网页： [img]file:///osroot://c://documents[/img] http://www.newslist.com.cn/检测时间：2009-9-25 21:11:17

木马网址：http://cm2.kmip.net/05/yt.htm
shellcode溢出攻击

木马网址：http://cm2.kmip.net/05/nYnTdxxz.htm
shellcode溢出攻击

木马网址：http://cm2.kmip.net/05/nYnTdxxz.htm


网页： [img]file:///osroot://c://documents[/img] http://www.newslist.com.cn/html/mingjia/20090528/2865.html检测时间：2009-9-25 17:33:58

木马网址：http://cm2.kmip.net/05/yt.htm
shellcode溢出攻击

木马网址：http://cm2.kmip.net/05/nYnTdxxz.htm
shellcode溢出攻击

木马网址：http://cm2.kmip.net/05/nYnTdxxz.htm


网页： [img]file:///osroot://c://documents[/img] http://www.newslist.com.cn/html/shizheng/20090913/3419.html检测时间：2009-9-25 17:12:32

木马网址：http://cm2.kmip.net/05/yt.htm
shellcode溢出攻击

网页： [img]file:///osroot://c://documents[/img] http://www.newslist.com.cn/


但是在查找病毒的时候死活没有找到 请高手给个建议  用的是DEDECMS

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon)

http://www.newslist.com.cn/html/jzjy/2009/0510/778.html

004>http://cm2.kmip.net/05/ganiniang360.html
001>http://cm2.kmip.net/05/05.htm?2-


hxxp://cm2.kmip.net/05/nYnTd14.htm

001>http://mm22.kmip.net/w/x5.exe


这自动解密日志
可以参考下


> 自动解密:初始化...
> 获取用户信息:输入待解密的网址..
> 代码: 读取代码:http://www.newslist.com.cn/html/jzjy/2009/0510/778.html
= 长度:23028成功
> 目标确认:hxxp://www.newslist.com.cn/html/jzjy/2009/0510/778.html
> 初步进行特定类型检测
> 解密: 转义符去除.
= [之前:23028 之后:23012] (完成)
> 解密: 转义符去除.
= [之前:23012 之后:23012] (无变化)
> 初步检测结束，进行后续解密
> 解密中 001>hxxp://www.newslist.com.cn/include/dedeajax2.js
> 代码: 读取代码:http://www.newslist.com.cn/include/dedeajax2.js
= 长度:6458成功
> 解密: 转义符去除.
= [之前:6458 之后:6458] (无变化)
> 去杂: "\"消除.
= [之前:6458 之后:6456] (完成)
> 去杂: "\"消除.
= [之前:6456 之后:6456] (无变化)
! http://www.newslist.com.cn/include/dedeajax2.js代码分析完毕,即将被移除。
> 解密中 002>hxxp://s114.cnzz.com/stat.php?id=1335073&web_id=1335073&show=pic
> 代码: 读取代码:http://s114.cnzz.com/stat.php?id=1335073&web_id=1335073&show=pic
= 长度:2587成功
> 去杂: 连接符消除.
= [之前:2587 之后:2583] (完成)
> 去杂: 连接符消除.
= [之前:2583 之后:2583] (无变化)
! http://s114.cnzz.com/stat.php?id=1335073&web_id=1335073&show=pic代码分析完毕,即将被移除。
> 解密中 002>hxxp://bbs.newslist.com.cn/api/javascript.php?key=%d6%f7%cc%e2%c1%d0%b1%ed_hot
> 代码: 读取代码:http://bbs.newslist.com.cn/api/javascript.php?key=%d6%f7%cc%e2%c1%d0%b1%ed_hot
= 失败
! http://bbs.newslist.com.cn/api/javascript.php?key=%d6%f7%cc%e2%c1%d0%b1%ed_hot代码分析完毕,即将被移除。
> 解密中 002>hxxp://pagead2.googlesyndication.com/pagead/show_ads.js
> 代码: 读取代码:http://pagead2.googlesyndication.com/pagead/show_ads.js
= 长度:34658成功
> 解密: 转义符去除.
= [之前:34658 之后:34648] (完成)
> 解密: 转义符去除.
= [之前:34648 之后:34648] (无变化)
> 去杂: "\"消除.
= [之前:34648 之后:34612] (完成)
> 去杂: "\"消除.
= [之前:34612 之后:34612] (无变化)
! http://pagead2.googlesyndication.com/pagead/show_ads.js代码分析完毕,即将被移除。
> 解密中 003>hxxp://pagead2.googlesyndication.com/pagead/+$
> 代码: 读取代码:http://pagead2.googlesyndication.com/pagead/+$
= 失败
! http://pagead2.googlesyndication.com/pagead/+$代码分析完毕,即将被移除。
> 解密中 002>hxxp://www.newslist.com.cn/plus/ad_js.php?aid=7
> 代码: 读取代码:http://www.newslist.com.cn/plus/ad_js.php?aid=7
= 长度:173成功
> 解密: 转义符去除.
= [之前:173 之后:173] (无变化)
> 去杂: "\"消除.
= [之前:173 之后:163] (完成)
> 去杂: "\"消除.
= [之前:163 之后:163] (无变化)
! http://www.newslist.com.cn/plus/ad_js.php?aid=7代码分析完毕,即将被移除。
> 解密中 002>hxxp://www.newslist.com.cn/plus/ad_js.php?aid=6
> 代码: 读取代码:http://www.newslist.com.cn/plus/ad_js.php?aid=6
= 长度:233成功
> 解密: 转义符去除.
= [之前:233 之后:233] (无变化)
> 去杂: "\"消除.
= [之前:233 之后:227] (完成)
> 去杂: "\"消除.
= [之前:227 之后:227] (无变化)
! http://www.newslist.com.cn/plus/ad_js.php?aid=6代码分析完毕,即将被移除。
> 解密中 003>hxxp://count1.51much.com/cnt.php?uid=va-1-13810&style=none
> 代码: 读取代码:http://count1.51much.com/cnt.php?uid=va-1-13810&style=none
= 长度:5860成功
> 解密: 转义符去除.
= [之前:5860 之后:5860] (无变化)
> 去杂: "\"消除.
= [之前:5860 之后:5852] (完成)
> 去杂: "\"消除.
= [之前:5852 之后:5852] (无变化)
! http://count1.51much.com/cnt.php?uid=va-1-13810&style=none代码分析完毕,即将被移除。
> 解密中 003>hxxp://cm2.kmip.net/05/05.htm?2-
> 代码: 读取代码:http://cm2.kmip.net/05/05.htm?2-
= 长度:327成功
!! 发现特定文件类型:http://www.linezing.com
> 一次敏感退出，解密结束
- 解密结束
> 后续操作:解密步骤列表回溯

>存在于特定类型文件列表中的网址有:
>http://www.linezing.com

->http://www.newslist.com.cn/plus/ad_js.php?aid=6
|  |->http://cm2.kmip.net/05/05.htm?2-
|  |  |->http://cm2.kmip.net/05/ganiniang360.html
|  |  |  |->http://cm2.kmip.net/05/nyntd14.htm
|  |  |  |  |->http://cm2.kmip.net/05/14.js
|  |  |  |  |->http://cm2.kmip.net/05/15.js
|  |  |  |  |->http://cm2.kmip.net/05/17.js
|  |  |  |  |->http://cm2.kmip.net/05/16.js
|  |  |  |  |->http://cm2.kmip.net/05/18.js
|  |  |  |->http://cm2.kmip.net/05/yt.htm
|  |  |  |  |->http://cm2.kmip.net/05/h8.jpg
|  |  |  |  |->http://cm2.kmip.net/05/b.jpg
|  |  |  |  |->http://cm2.kmip.net/05/url.jpg
|  |  |  |  |->http://cm2.kmip.net/05/c.jpg
|  |  |  |  |->http://cm2.kmip.net/05/d.jpg
|  |  |  |  |->http://cm2.kmip.net/05/e.jpg
|  |  |  |  |->http://cm2.kmip.net/05/f.jpg
|  |  |  |->http://cm2.kmip.net/05/nyntdxxz.htm
|  |  |  |  |->http://cm2.kmip.net/05/01.js
|  |  |  |  |->http://cm2.kmip.net/05/02.js
|  |  |  |->http://cm2.kmip.net/05/yut.htm
|  |  |    |->http://cm2.kmip.net/05/ytfl.htm
|  |  |    |->http://cm2.kmip.net/05/of.htm
|  |  |        |->http://cm2.kmip.net/05/of.js
|  |  |        |->http://cm2.kmip.net/05/of3.jpg
|  |  |        |->http://cm2.kmip.net/05/of.jpg
|  |  |        |->http://cm2.kmip.net/05/of2.jpg
|  |  |->http://js.t0ngji.linezing.com/1303761/tongji.js
|  |->http://count1.51much.com/cnt.php?uid=va-1-13810&style=none

多谢高手 请问您是怎么反向分析出这个木马文件所在位置的？

分析的工具现在很多了,,Decoder,MDecoder.FreShow,还有1楼的那个自动解密的Astox等等....