→ terrybob:也要找script的轉向… 05/18 15:37
→ terrybob:掛載javascript的病毒碼也是常見的事 05/18 15:37
→ LaPass:先把瀏覽器執行JS的功能給關掉,然後打開Chrome開始找程式 05/18 15:55
→ LaPass:碼.... 05/18 15:55
推 s25g5d4:建議可以直接用notepad開 05/18 21:45
→ s25g5d4:notepad -> 開啟舊檔 -> 貼上網址 05/18 21:46
→ s25g5d4:有其他慣用編輯器應該也能適用 05/18 21:46
推 LaPass:原來notepad可以這樣用啊 學到一招了~ 05/18 22:21
推 carlcarl:vim 也可以~ 05/19 15:24
感謝各位版友的回答,可是我用notepad++將我的網頁載進來後用搜尋"shu8"
卻沒有找到類似的東西...
而且情況很奇怪的是網站網址直接連結跟超連結都不會被轉址,只有在yahoo
奇摩跟MSN的bing搜尋,搜尋出來點選後才會被轉址。
另外詭異的是,不同電腦或不同瀏覽器點選搜尋結果也不一定會被轉...
不知道有沒有版友遇過類似的壯況?
※ 編輯: TomomiItano 來自: 163.23.72.51 (05/21 09:20)
我本來懷疑是javascript的問題,可是看了網頁的code,看不出什麼端
倪…接著我停用chrome的javascript後再去yahoo搜尋,結果還是一樣中
招被轉移到www.shu8.cc或184.105.170.230...Orz...快崩潰了...
◢▆▅▄▃崩╰(〒皿〒)╯潰▃▄▅▇◣
※ 編輯: TomomiItano 來自: 163.23.72.51 (05/21 15:35)
→ chrisQQ:能給你的網站的網址嘛?或是用yahoo搜尋的 keyword ? 05/21 16:38
※ 編輯: TomomiItano 來自: 42.74.231.242 (05/21 17:17)
→ carlcarl:恩恩 搜尋完點進去就跑到色情論壇 直接連網址就不會 05/21 17:42
推 akiratw:剛剛用 Chrome 測試過的確會被轉址 05/21 17:42
→ akiratw:但是把 referer 關掉之後就不會了,應該是程式碼有鬼... 05/21 17:43
→ carlcarl:為什麼別人標題的超連結網址都是正確的 你的卻怪怪囧 05/21 17:43
→ akiratw:一樣是 shu8.cc、一樣是 ASP,你可以參考一下 05/21 17:44
推 carlcarl:感覺挺有可能的@@ 不過global.asa是如何上傳上去的啊 05/21 17:56
→ chrisQQ:主機有漏洞,人家透過主機傳的、或程式有漏洞直接上傳@@ 05/21 18:38
感謝各位的協助,不過我們中的毒好像更深Orz...
我看了akiratw版友的連結並google了global.asa發現不少資料,但可惜的
是我們的global.asa並沒有類似的痕跡...
倒是有一段可疑的code如下:
<iframe src=Http://127.0.0.1/m.htm width=0 height=0></iframe><marquee
scrollAmount=8565 width="1" height="6">
<a href="Http://www.thechristianlouboutin.com" title="christian
louboutin">christian louboutin</a> cheap for you.
<a href="Http://www.lauren-ralph.com" title="Ralph lauren">Ralph
lauren</a>polo shirts
<a href="Http://www.high-tops.com/" title="Nike sb">Nike Sb</a>Nike Dunks
<a href="www.pololaurens.com" title="polo outlet">Polo outlet</a>Ralph lauren
online store
<a href="Http://www.coachoutletuk.com" title="Coach Outlet">Coach
Outlet</a>Coach handbags online
<a href="Http://www.cheapburberry.net" title="Cheap Burberry">Cheap
Burberry</a>outlet online shop
<a href="Http://www.outletburberry.com" title="Burberry Outlet">Burberry
Outlet</a>polo shirts
</marquee>
不清楚這段是怎麼被放進去的,我也找不到m.htm。
不過這顯然不是我們的問題,因為我將所有有被植入的global.asa
還有*.js裡面的這些code移除並將檔案改成唯讀重開windwos server 2003
後問題仍然存在Orz...
囧,又失去一條線索了◢▆▅▄▃崩╰(〒皿〒)╯潰▃▄▅▇◣
※ 編輯: TomomiItano 來自: 163.23.72.51 (05/22 11:10)
今天新進展,用eTrust掃到一個奇怪的資料夾「qkH4H7Tk5wcE」。
這個資料夾即使我開啟「顯示所有檔案和資料夾」跟「顯示系統資
料夾的內容」都看不到他...
裡面有一些奇怪的檔案,像是「lpt2.asp;index.html」,因為用圖
形介面看不到,所以我用DOS指令嘗試去刪,但奇怪的是檔案可以刪
掉,資料夾卻不行...用RD去刪資料夾出現「存取被拒。」...
不知道有沒有其他的解決方法?
※ 編輯: TomomiItano 來自: 163.23.72.51 (05/23 11:20)
推 jojo1865:有沒有可能被.htaccess轉址了? 05/25 18:51
windows server 2003+IIS+asp也會有.htaccess?
那不是apache的嗎?
※ 編輯: TomomiItano 來自: 42.76.120.192 (05/25 23:21)
可能沒有人在follow這篇了XD 但我還是提一下解決的方法(暫時治標)。
1. 有些奇怪的檔案或資料夾被隱藏,要看到要先「工具->資料夾選項
->檢視」,把「隱藏保護的作業系統檔案」的勾勾取消;「隱藏檔案和
資料夾」選「顯示所有檔案和資料夾」,這樣一來應該可以看到一些奇
怪的檔案。
2. 如果沒有使用global.asa這個檔案,可是根目錄底下卻有隱藏的
global.asa,不要懷疑將之刪除。
因為我不知道global.asa是怎麼被放進來的,所以刪除完之後,我去找
了windows server 2003 SP2來安裝(之前是SP1),希望可以杜絕...希
望啦Orz...
另外一個困擾我的問題是,有些資料夾刪不掉也打不開,不知道裡面藏
了什麼Orz...使用「Dr.Web CureIt!」掃描過後也沒有什麼異狀...超
囧....
※ 編輯: TomomiItano 來自: 163.23.72.51 (05/29 11:11)
推 facers:程式有漏洞+資料夾寫入及執行權限沒設好所造成的問題.. 05/29 12:59
漏洞一定是有,只是我的功力太淺不知道怎麼堵-_-
先觀察看看裝了SP2有沒有用處…如果日後還是中標…
就…我也不知道…
※ 編輯: TomomiItano 來自: 42.76.168.194 (05/29 22:39)
推 facers:IIS安裝URLSCAN應該可以擋掉不少程式漏洞,在程式有權限上 05/30 00:22
→ facers:傳的資料夾,請將執行的權限停止(網路有名被駭的案例:黃 05/30 00:23
→ facers:色鬼屋)。 05/30 00:23
→ facers:程式與上傳檔案的位置,最好分開,千萬不要放在一起,不然 05/30 00:23
→ facers:碰到程式沒規劃好,大概會設定設到死.. 05/30 00:24
→ facers:檔案設定唯讀沒有用,要設定檔案權限才有,可搜尋關鍵字 05/30 00:27
→ facers:IIS 及 權限,你應該會找到答案。 05/30 00:27
→ TomomiItano:感謝facers,受益良多! 05/30 09:14