×

挂马 清除

关于网站挂马的定位清除方法思路

oy oy 发表于2013-02-25 23:07:47 浏览179 评论0

抢沙发发表评论

近日笔者一个废弃多年的网站被挂马,表现为打开网站页面不久就会弹出一些乱七八糟的弹窗对话框,随后即被跳转到一个钓鱼网站。

但神奇的是不知挂马者用了何种高科技术,每天仅有第一次打开网站才会被挂马引导,第二次之后访问一直正常,查看HTML中也没有任何痕迹,估计木马程序中有IP缓存监测,使得自己更为隐秘而不容易被站长发觉定位。(看来此类木马针对一次性访客定制,例如搜索引擎带来的客户)

 

 使用开发人员工具,利用元素审查定位弹窗即可发现以下被额外添加的挂马代码:

 

 利用工具全盘扫描包含want2free或者test.js这样的挂马关键字却没有任何发现,手工审查HTML模板文件也同样没有发现任何问题,那这段挂马到底在哪个文件上。

仔细研究这段源代码发现在本站正常调用的common.js后面就紧跟了挂马网站的JS调用,那么很有可能是JS调用有鬼,很可能挂马语句就在common.js中

打开果不其然,一看到这种eval加密的js八成有问题,好好的js不用,非要加密成这种鬼样子储存,再解密还原使用,肯定别有目的。用在挂马程序中躲避关键字搜索最实用了,这样就是为什么前面一直搜不到的原因。

好了,清除掉这段代码,并对比还原该文件以前的备份。

最后笔者登陆网站检测工具:  http://webscan.360.cn/   对glgem.com进行深度扫描,发现在一个子栏目页面中发现漏洞一个(对输入变量过滤规则的不严谨性导致的),从而可能获取shell权限,实施修复该漏洞即可彻底完工!

 本文核心思想: 提供类似挂马的问题定位思路,多使用工具可节省时间提高效率:

1、元素审查(用于定位挂马代码)

2、webscan(用于扫描网站漏洞定向修复)

3、养成良好的备份习惯,关键时刻自有用武之地

 

评论区

访客