搜外网>搜外问答>问答页面

关于ecshop程序被挂bo彩木马的源码

最近,一直被挂bo彩木马,空间里有三个文件夹,分别是csermn,demogg,graddli,都在根目录下,还有一个pics.php的php文件,代码如下:

在那三个木马文件夹里,每个都有一万多个.html文件,还有一个index.html文件,其中一段代码为:

现在问题是,如可查找源木马文件?请大牛们支招,急啊。

追加问题
    10 人参与回答
孔令峰
孔令峰 · 医疗集团 SEO总监 专注seo和互联网创新实践。
刚他蝈蝈 等 2 人赞同该回答

1. 为PHP一句话木马,密码:8
2.在那三个木马文件夹里,每个都有一万多个.html文件:程序自动生成的非法页面,估计不是游戏就是菠菜。
3. :为JS转跳,黑阔巧妙的用了gif为掩护,打开gif地址,保存本地,记事本打开,如图:





很明显,没有gif文件头,这是加密之后的js。
总结:黑阔留的php一句话作用连接管理文件用;生成大量非法页面来收录。js来跳到指定页面,很常见的黑帽seo。

楼主用的Ecshop ,这个商派基本没人搭理,建议使用Shopex,毕竟ecshop都开源了,漏洞什么的不说了。。

最后:如果楼主有服务器权限的话,建议下载d盾webshell查杀工具,大名鼎鼎的啊d写的哦。

如何防范:
1.及时升级补丁
2.服务器安装360卫士 以及安全狗之类的防御软件
3.建议开始cnd加速,会防御各种sql ddos攻击;
4.设置目录的写入权限。(很重要)
5.经常查看ftp中的文件。
才财
才财 · 网站模板下载,响应式网站(goodnet CMS),点右边

还是自己开发的网站程序好,木马找不到门

挂马的问题我也碰到过,主要是开源程序漏洞太多,这点乌云平台和360安全都报道过了。针对你的问题,我认为 主要入侵方式是sql注入,利用的是漏洞,挂的应该是一句话木马,下面本人提供一下解决办法,不到之处,多多包涵。
1.服务器密码常更换,设置复杂,后台登录地址 加长并常变换,如改为 “zheshiwodehoutaidizdengdengeedeng'',尽量长,数据库目录和密码也是如此,网站注册和登录
验证码功能要打开。
2.查木马,参考安装 安全狗,可以查马和防止攻击,找出后删除木马目录。
3. 查看网站根目录看有没有 探针文件,这个是最致命的。
4. 做安全防护,如加装360网站安全检测防护代码,可以防止漏洞入侵。
5. 看系统是否存在不熟悉的登录账户和影子账户。
6. 实在不行,建个和木马同名的目录并不给其权限。

李林
李林 · 擅长蜘蛛分析,推荐LogHao

用loghao注入检测工具,可以检测木马初始入口。

赵 敏
赵 敏 · 环球塑化网 聚客网 SEO 推广 策划

这个就是木马文件。
你要做的是删除这些文件,然后找出被挂马的漏洞。也可以禁用assert方法,这个木马就是用assert方法完成了。

太阳
太阳 · 不仅仅是SEO

不懂就重装系统吧,要经常备份数据库

张    磊
· 人生路上,淡定潜行!

额 木马的各种不懂啊 抱歉 但是是不是可以这样 备份你的数据库 模板文件就行了 其他的全部清空 重新弄网站 对于CMS系统 只要模板和数据在 恢复应该挺容易的吧?

陈超龙
陈超龙 · 微信WOLFSEO 倡导内容质量为王的价值SEO

1.删掉可疑的文件夹。
2.你的思路是对的,要找到木马的驱动文件

黄僚敏
黄僚敏 · SEO爱好者,非专业SEO人员,源于2014对SEO的研究

可以百度搜索PHP一句话木马相关的查杀方法。

吴星
吴星 · 文艺极客QQ群 255363059

很抱歉没用过任何 CMS、模版。个人网站页面主要代码是自己在文本编辑器里 1 行行敲出来的。
所以无法理解为什么使用 Ecshop 网站会被挂木马,并找不到源头。
大概像 Windows 操作系统,使用的人多了,比较容易发现漏洞。
像我个人网站自己发明的逻辑,外人一般理解不了。
各有优缺点,被挂木马算是使用 CMS 的成本之一。
有时觉得世界还是很公平的,你付出了多少,就会获得多少回报。

SEO培训招生中
155