分享到:

网站中木马病毒:打开出现黄色内容 刷新后消失

21-10月-2011

手里一个客户网站最近一打开就会在网页顶部出现黄色信息,刷新一次或者重新打开一个页面后黄色信息消失不见。右键查看网页源文件发现在正规网页HTML前面加入了黄色内容的HTML,但是去服务器上查看网站源文件的时候发现网站源文件都是正常的,让我很是郁闷。下面分享下解决方法:
 
先上图,打开网站就会先出现如下黄色图片,下面再出现网站真实内容:


经过青岛星网严格排查终于发现了这个网站木马的根源所在,下面就跟大家一起分享一下这个网站木马的工作原理:
 
1、类似木马首先会在网站根目录加入一个新的文件名字叫:Global.asa,顶部并且加入了 一句:《script language="vbscript" runat="server"》。大意就是在浏览网站的时候先执行这个文件里的代码。
 
2、运用了心理学,在加入这句代码之后回车了很多次,导致下面一片空白,我第一次打开这个文件的时候发现什么都没有就关闭了,其实不然,代码被写在了最底部,如果不注意右侧滚动条的话真不容易发现。
 
3、木马的核心技术,在底部代码里运用了application 对象启动的时候执行一个过程,在过程里运用了XMLHTTP技术远程读取了木马文件加载然后用ADODB.Stream对象写入网页。我经常使用XMLHTTP技术来生成HTML文件,没想到原来还可以这么用,怪不到我全盘搜索木马标签竟然没有发现。不得不说写的这个木马病毒挺有创意的。


4、解决方法:发现可能是利用了fckeditor编辑器的上传漏洞,我解决方法如下:fckeditor这个编辑器里有一个文件commands.asp,大概路径是/fckeditor/editor/filemanager/connectors/asp/commands.asp。在这个文件里找到FileUpload这个过程,在大概151行这个位置把原来的 If oUploader.ErrNum > 0 Then sErrorNumber = "202" 改成If oUploader.ErrNum > 0 or instr(oUploader.File( "NewFile" ).Name,".asp")>0 Then sErrorNumber = "202"。这个样子修改后部知道网站是否还会感染病毒,我们拭目以待,如果网站在此感染病毒,青岛星网会第一时间与大家分享解决之道!


View: 1630

上篇新闻:小眼看SEO,大眼看未来!

下篇新闻:手把手教你写seo策划书