求救!! 空间所有的网站都被挂马了

fleagao · 发表于 2010-5-8 08:33:38

空间中所有的网站都被挂马了.  都是在</head>前面调用一个js文件.
好像挂的人有很大的权限,  空间中所有的文件, 不同的站点, 只要有</head>的地方都被挂了. 太恐怖了!!
可以是因为空间有几个DEDE的站没有打补订, 造成的.  前段时间有一个站被挂过, 把后台都打上补丁了. 现在把我整个空间的站都挂了.

BS这些挂马的人. 有那位兄弟碰到过这样的. 怎么清马. 文件太多了. 一个个改死人.  还有怎么才能把漏洞给堵上.  求救了!!

PS: 在FTP看到文件的修改日期都是很早的, 加马的时候, 没有变动过修改日期. 奇怪!.

fleagao · 发表于 2010-5-8 08:59:56

有人吗?

开心私塾 · 发表于 2010-5-8 09:00:09

这个要你自己清理了。

fleagao · 发表于 2010-5-8 23:19:26

搞定, 找到一个PHP木马, 不仅能挂马, 还能清马.

goldstein · 发表于 2010-5-8 23:52:20

在FTP看到文件的修改日期都是很早的, 加马的时候, 没有变动过修改日期. 奇怪!.

复制代码

你这种情况，应该检查下根目录下的 .htaccess 文件，如果 .htaccess 文件被加了恶意代码，那你所有的文件都会被挂马，且文件日期不变。

www.cpanel.my · 发表于 2010-5-9 00:59:33

原帖由 goldstein 于 2010-5-8 11:52 PM 发表
在FTP看到文件的修改日期都是很早的, 加马的时候, 没有变动过修改日期. 奇怪!.你这种情况，应该检查下根目录下的 .htaccess 文件，如果 .htaccess 文件被加了恶意代码，那你所有的文件都会被挂马，且文件日期不变。 ...

.htaccess 常见的有301转向
例如

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} (Googlebot|Slurp|msnbot)
RewriteRule ^ http://xxx.com/ [R=301,L]

复制代码

单纯用htaccess向文件内注入代码，这个我没有见过
版主能否举例？

goldstein · 发表于 2010-5-9 10:35:45

方法有几种，最常见的是这样：

.htaccess 文件加入这一句：

php_value auto_prepend_file "trojan.inc"

复制代码

这样所有PHP文件执行时都会预先加载木马。

或者用.htaccess重定向加载跨站JavaScript木马。

类似的挂马方法很多，CSS、Javascript、PHP、ASP、JSP、.htaccess、php.ini、IIS都可以被用来挂马。

楼主的这个黑客看起来比较有经验，应该不是新手，可能楼主中了还不止一种木马，所以建议联系管理员重置整个账号。

[ 本帖最后由 goldstein 于 2010-5-9 10:38 AM 编辑 ]

www.cpanel.my · 发表于 2010-5-9 14:39:19

嗯，要注意被挂马的文件与.htaccess文件各自的最后修改时间
现在如果服务器运行suphp的话，版主的那句就不管用了！不过仍然有其他方法可以实现，这里就不说太多了。
auto_prepend_file加载的文件应该是运行在<html>和</html>之外的。

平时下载程序或者插件的时候，多留意一下程序或插件自带的.htaccess文件有无恶意代码！增加防范意识

[ 本帖最后由 www.cpanel.my 于 2010-5-9 02:42 PM 编辑 ]

fleagao · 发表于 2010-5-9 18:32:02

.htaccess文件没有改, 被人上传了一个PHP木马. 功能很强大. 可以修改整个站点的文件.

html和js文件全部被加马了.

goldstein · 发表于 2010-5-9 19:14:41

求此木马的名字，如果能把程序分享下最好不过了。

[提问] 求救!! 空间所有的网站都被挂马了

回复 6# 的帖子

浏览过的版块

HostMonster讨论