文档章节

说说我这两天处理的一个被挂马的网站的故事

江南-浪子
 江南-浪子
发布于 2014/01/16 18:25
字数 871
阅读 7233
收藏 127

        话说这个木马够黑的, 当然也是由于这个运营商,安全意识太低,服务器基本“裸奔”,遇到这样的运营商,我要替我们广大而可敬的”黑兄“(black brother  BB玩笑称呼了) 说句公道话,你连防火墙都不开,杀毒软件也不装,你这是想”黑兄“挑衅吗?人家不黑,都不对不起自己的职业o(╯□╰)o ,呵呵,题外话

先说着这个 apache + php + mysql +tomcat 的虚拟主机配置

配置好后,并且按照网上说的 tomcat 处理静态的没有apache 好,并且你也将apache 根目录指向了tomcat 的根目录,

那么恭喜你,成功了,有可能在tomcat说指向的目录中 php的代码也是可以执行的

呵呵,那你就得小心了,如果不幸被黑 ,那么有可能被留 php的后门程序,然后又被衍生出个jsp的后门 已经很多方便“黑哥”操作的后门(具体沦陷到什么程度,就看哥会不会手下留情了)。。。。。好了,下面说说这个情况,打开这个被植入了js代码的网站的首页 ,会弹出qq中奖信息,然后第二次就不会再弹出了,这个我猜测是对cookies做了判断,当然网上很多也是这么说的,也可能是对咱的IP地址做了判断,前者容易排出,只要清除了浏览器的cookies就OK了,可以测试一下,到底是不是对cookies做的判断。显然lz做了测试,不是!!!!后者就比较麻烦了,咱现在都是动态IP地址,需要断开在链接,就OK了,可是我们是大家一起共用的路由器,不好意思啊影响别人上网啊!今天正好停电了一下(靠,这么好的机会,我得抓住了)哈哈,找到了

做了下测试,现在终于不弹出了,在本地做了测试,果然是 生成 下面两个的外部的js的“罪魁祸首”,果断的删除,当然这个只是表象,因为后门不除,后患穷

经过lz苦逼的了两天,找出了点东东,拿出来跟大家分享一下

由于第一次发,不知道如何上传附件,有兴趣的同学可以留个邮箱,发给各位。

声明一下,只供参考和学习用,如果另作他用,并且被抓,自己负责

额,抱歉了各位,可能由于图片被压缩了,不清楚,现在我将我百度网盘共享的地址放出,有兴趣的童鞋,可以下载看看,但是不要轻易在服务器使用,仅供学习和研究,不要用作非法用途

http://pan.baidu.com/s/1bnH0Vkr

© 著作权归作者所有

共有 人打赏支持
江南-浪子
粉丝 8
博文 1
码字总数 871
作品 0
南京
程序员
加载中

评论(61)

小杰瑞
小杰瑞
你这什么这么吊
鱼干的马甲
鱼干的马甲
楼主威武,我们上次服务器被黑,上面的几百个网站都有恶意代码!数据库也出现问提,我们几个人通宵加班才弄好!多谢楼主分享。173354926@qq.com
tix
tix
马赛克
tix
tix
图片完全就是全幅
Glitter
Glitter
好花哟~34
江南-浪子
江南-浪子

引用来自“lazyphp”的评论

撸主难道搞了一个短信炸弹?20

什么意思?
书一
书一
把图片调成200K以内,重新发应该没问题了
江南-浪子
江南-浪子

引用来自“lazyphp”的评论

引用来自“江南-浪子”的评论

引用来自“大杨杨杨”的评论

有一个方法,可以尝试下,先吧没有挂马的上传到svn,然后把挂马的所有源码覆盖本地的svn受控代码,当你提交的时候会提示哪些文件有变动。

对比法很实用。

可是人家运营的,每天都生成好多静态文件,快6w个文件了,还能是对比方便,还有咱又不是专门做他一家
lazyphp
lazyphp

引用来自“江南-浪子”的评论

引用来自“大杨杨杨”的评论

有一个方法,可以尝试下,先吧没有挂马的上传到svn,然后把挂马的所有源码覆盖本地的svn受控代码,当你提交的时候会提示哪些文件有变动。

对比法很实用。
lazyphp
lazyphp
撸主难道搞了一个短信炸弹?20
网站被挂马了,求一个解决办法

这两天网站一直被博彩网修改,跳转。 其中含有这个代码 打开这个js是 eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c...

花开...
2016/12/22
1K
15
趣图丨阿里p6大概啥水平?是不是不行?

点击上方“程序人生”,选择“置顶公众号” 第一时间关注程序猿(媛)身边的故事 这两天阿里穿特步鞋的程序员相亲被拒这件事火了 聊天部分截图源自:微博-杭州微博城事(全部聊天记录请移步至...

csdnsevenn
01/11
0
0
日本家庭如何预防地震?暨常用安全措施分享

一周多以来,又一场大地震牵动全中国、全世界的心,衷心替青海玉树灾区祈福! 而对生长在地震多发国家的我来说,一直以来家里都有专门的预防措施。事实上,除了地震,日常生活中还有很多情况...

tsuneo_kato
07/02
0
0
张百川:“知道”网站安全体检初体验

  昨天游侠写过一篇文章 [关于几个免费在线挂马检测网站] ,说到了北京知道创宇公司的“知道网站安全体检中心”,他们的工作人员很及时的给我发了个内测账号,这里大体说下。当然网址是 ht...

wbf961127
2017/11/15
0
0
谁来跟我讲讲草晶华黄花闺好不好啊?

谁来跟我讲讲草晶华黄花闺好不好啊?前两天见一个同事说起过它,但当时没有细问,也不知道具体如何,有知道的亲们麻烦跟我说说咯,在这里先谢过啦。

inthdp
05/03
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

49.Nginx防盗链 访问控制 解析php相关 代理服务器

12.13 Nginx防盗链 12.14 Nginx访问控制 12.15 Nginx解析php相关配置(502的问题) 12.16 Nginx代理 扩展 502问题汇总 http://ask.apelearn.com/question/9109 location优先级 http://blog....

王鑫linux
今天
1
0
Nginx防盗链、访问控制、解析php相关配置、Nginx代理

一、Nginx防盗链 1. 编辑虚拟主机配置文件 vim /usr/local/nginx/conf/vhost/test.com.conf 2. 在配置文件中添加如下的内容 { expires 7d; valid_referers none blocked server_names *.tes......

芬野de博客
今天
0
0
spring EL 和资源调用

资源调用 import org.springframework.beans.factory.annotation.Value;import org.springframework.context.annotation.PropertySource;import org.springframework.core.io.Resource;......

Canaan_
今天
1
0
memcached命令行、memcached数据导出和导入

一、memcached命令行 yum装telnet yum install telent 进入memcached telnet 127.0.0.1 11211 命令最后的2表示,两位字节,30表示过期时间(秒) 查看key1 get key1 删除:ctrl+删除键 二、m...

Zhouliang6
今天
1
0
Linux定时备份MySQL数据库

做项目有时候要备份数据库,手动备份太麻烦,所以找了一下定时备份数据库的方法 Linux里有一个 crontab 命令被用来提交和管理用户的需要周期性执行的任务,就像Windows里的定时任务一样,用这...

月夜中徘徊
今天
1
1

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部