网赚论坛

标题: 浅谈站长如何排除网站挂马 [打印本页]

作者: luxunlove    时间: 2017-9-13 19:53
标题: 浅谈站长如何排除网站挂马
昨晚深邃网友一诺小朋友向我报告说友情链接有一个网站有木马,我一看,晕,那个不是我正在帮朋友做关 键词优化的QQ个性签名么?一开始以为只是杀软误报,加上我也没有装杀毒软件(一直没中过病毒),所以就没怎么管他?

  今天起来用新手机((*^__^*) 嘻嘻……,俺买了黑莓8100)打开百度搜索一下QQ个性签名,晕,排名不知道掉到第几页了。我就郁闷了,自己的SEO优化一直都是很温柔的上的啊,怎么会被降权了?于是就猜想可能真的被挂马了,因为是也算是刚认识的朋友,当然要帮忙处理一下这些琐碎的问题啦。回来之后,马上启用德国杀软小红伞,“滴滴”两声,打开QQ个性签名的时候报警了。于是打开html代码查看,既然没有iframe,这就奇怪了。于是清理缓存再次打开网页,根据小红伞提供的资料找到了报警的文件:info[1].js,打开得到下面的代码:
var az=document.cookie;
var za=az.indexOf(”qqqq”);
if(za!=-1){}else{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”qqqq=web;expires=”+expires.toGMTString();
document.writeln(””);window.status=” “;}
我想问题应该出在js代码上,于是在代码搜索js,一个是51la的统计的js,另外一个是div.js,51la的自然可以排除,所以我就打开div.js,然后看到了下面“此地无银三百两”的网址代码(红色字体的),一路跟踪下去,果然发现可疑迹象。



// JavaScript Document
function showdiv(divnum,divbefor,id){
for(i=1;i
继续iframe跟踪:http://kkwwkkc.cn/10/123.htm
打开得到如下王八代码:


  鄙人才疏学浅,看不懂转化了的代码啥意思,不想去转换,知道被挂马就ok了,最后是跟朋友说让他去掉那个代码,清理缓存重新打开网页,ok,没问题了。
  写这篇文章的用意在意告诉各位,要注意自己网站的安全,如果发现挂马,不要错过每一个细节,首先仔细检查html页面有没有调用其他莫名的网站的东西,然后仔细分析自己页面的js代码,iframe是黑客们最常用的手段。实例一篇,希望对各位有用。这是我第一次抓马,经过自己的分析既然抓到了,很开心,特此分享……




欢迎光临 网赚论坛 (http://www.caifuba.net/) Powered by Discuz! X3.1