说说我这两天处理的一个被挂马的网站的故事
说说我这两天处理的一个被挂马的网站的故事
江南-浪子 发表于4年前
说说我这两天处理的一个被挂马的网站的故事
  • 发表于 4年前
  • 阅读 7226
  • 收藏 127
  • 点赞 11
  • 评论 61

腾讯云 新注册用户 域名抢购1元起>>>   

摘要: 该门户网主要apache + php(论坛php)+mysql+tomcat6 (门户 java) 网站被黑,挂了木马,并且植入了恶意代码,主要症状就是首页一打开会再右下角弹出一个 qq中奖信息,然后过会就会弹出一个窗口,你点了确定后就会被定向到领奖的页面,不过大家不小高兴的太早,因为这不是什么中奖的讯息,是这个网站被黑了~下面主要说说我这两天的苦逼“清马行动”,和经验,拿出来跟大家分享一下

        话说这个木马够黑的, 当然也是由于这个运营商,安全意识太低,服务器基本“裸奔”,遇到这样的运营商,我要替我们广大而可敬的”黑兄“(black brother  BB玩笑称呼了) 说句公道话,你连防火墙都不开,杀毒软件也不装,你这是想”黑兄“挑衅吗?人家不黑,都不对不起自己的职业o(╯□╰)o ,呵呵,题外话

先说着这个 apache + php + mysql +tomcat 的虚拟主机配置

配置好后,并且按照网上说的 tomcat 处理静态的没有apache 好,并且你也将apache 根目录指向了tomcat 的根目录,

那么恭喜你,成功了,有可能在tomcat说指向的目录中 php的代码也是可以执行的

呵呵,那你就得小心了,如果不幸被黑 ,那么有可能被留 php的后门程序,然后又被衍生出个jsp的后门 已经很多方便“黑哥”操作的后门(具体沦陷到什么程度,就看哥会不会手下留情了)。。。。。好了,下面说说这个情况,打开这个被植入了js代码的网站的首页 ,会弹出qq中奖信息,然后第二次就不会再弹出了,这个我猜测是对cookies做了判断,当然网上很多也是这么说的,也可能是对咱的IP地址做了判断,前者容易排出,只要清除了浏览器的cookies就OK了,可以测试一下,到底是不是对cookies做的判断。显然lz做了测试,不是!!!!后者就比较麻烦了,咱现在都是动态IP地址,需要断开在链接,就OK了,可是我们是大家一起共用的路由器,不好意思啊影响别人上网啊!今天正好停电了一下(靠,这么好的机会,我得抓住了)哈哈,找到了

做了下测试,现在终于不弹出了,在本地做了测试,果然是 生成 下面两个的外部的js的“罪魁祸首”,果断的删除,当然这个只是表象,因为后门不除,后患穷

经过lz苦逼的了两天,找出了点东东,拿出来跟大家分享一下

由于第一次发,不知道如何上传附件,有兴趣的同学可以留个邮箱,发给各位。

声明一下,只供参考和学习用,如果另作他用,并且被抓,自己负责

额,抱歉了各位,可能由于图片被压缩了,不清楚,现在我将我百度网盘共享的地址放出,有兴趣的童鞋,可以下载看看,但是不要轻易在服务器使用,仅供学习和研究,不要用作非法用途

http://pan.baidu.com/s/1bnH0Vkr

共有 人打赏支持
粉丝 9
博文 1
码字总数 871
评论 (61)
童俊
截图看不清
跟猪谈理想
lz看看计划任务什么的吧,linux被留了后门感觉比windows难找
走位风骚闪着腰
@红薯 博客这截图能整整不?
书一

引用来自“天朝子民鸭梨大”的评论

@红薯 博客这截图能整整不?

明天我看下,怎么会这样呢
江南-浪子

引用来自“天朝子民鸭梨大”的评论

@红薯 博客这截图能整整不?

额,明天改下,传个清楚点的
江南-浪子

引用来自“廖凯”的评论

引用来自“天朝子民鸭梨大”的评论

@红薯 博客这截图能整整不?

明天我看下,怎么会这样呢

东西在公司的电脑上,回家没法更新啊,sorry1
修改性别
懂代码的黑客是最无语的。一般边缘配置好了,基本都能阻止70%的黑客了。

主要还是开发人员安全意识不强
首席安全砖家
直接查看最近几天更改过的 文件 ,然后看可疑点, 基本就可以 找到 马了.
xioxin
图片惨不忍睹
开源中国首席煤工

引用来自“晓骏”的评论

直接查看最近几天更改过的 文件 ,然后看可疑点, 基本就可以 找到 马了.

是的,之前处理网站根据修改时间能找到大多数可疑文件。
hysjw
图片真心不行啊 文章不错 谢谢分享
大黄
图...
要吃九个橙子
这黑客技术太水了,木马文件怎么能以文件的形式存储呢.... 既然服务器上能运行PHP为什么不直接插一句话用菜刀呢
南湖船老大
要在PHP里放木马超级简单,特隐蔽,一个变量函数,一个正则表达式 /e 修饰符就可。说明这个黑网站的小子水平确实太低
南湖船老大

引用来自“大杨杨杨”的评论

引用来自“晓骏”的评论

直接查看最近几天更改过的 文件 ,然后看可疑点, 基本就可以 找到 马了.

是的,之前处理网站根据修改时间能找到大多数可疑文件。

修改时间也是可以用touch修改的,drank普通骇客没这么细心和耐心
colynn
图片啊,不清楚,
dreamwhat
图太糊了。。
in-cloud
直接用包含多好
淡定的wo
不要黑人家运营商。防火墙能分辨正常的“访问”?杀毒软件能阻止网页被修改?你这个不是搞笑吗?只要还是开发人员的问题。
卖红薯
啥子服务器,要装杀毒软件~~~
×
江南-浪子
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: