最近,很多朋友的网站被接入商扫描到有非法信息,(以金融界,火车票等LOGO居多)但是,任凭在服务器上怎么找都找不到非法内容存在于哪里.这些挂马并没有改变原来的文件也没有用木马文件,但确定在访问的时候会有非法内容,且直接在IE里输入URL的时候是没有这现象 内容的但在过滤软件里就可以看到,很是让人头大,经仔细分析后发现,网站程序有漏洞,上传了木马,然后在网站根目录放了一个global.asa文件,且是一个隐藏文件,这个文件是 ASP程序全局调用 的,不管程序里有没有写调用带码。且这个文件会自动更新删除也没有用。文件内容如下,他的做用大概就是读取URL里的一个参数去访问一个连接的内容一并后回给访问者。 直接访问对应的URL没有用的,在专门的SEO工具里访问就会有效果了,所以自查总是查不到,且总会被电信级接入商扫到。可以尝试把网站根目录改成只读的,防止这个文件生成,效果还不知道,可以试一下还有一般是从某些IP来访问这个非法连接,如 220.181.94.226(都是这个ip来访问挂马的地址的),可以在网站访问里把这个IP拒 绝掉,减少被扫到的情况. PS: global.asa 文件详细说明 一、什么是global.asa? Global.asa 文件是一个可选的文件,它可包含可被 ASP 应用程序中每个页面访问的对象、变量以及方法的声明。 Global.asa 文件可包含下列内容:Application 事件 Session 事件
一种新的网站挂马方式
最新推荐文章于 2024-09-25 14:45:14 发布