马,又是木马、从来只有小向黑别人没人别人黑小向,靠、今天网站被挂马了、伤心啊以前都是小向去黑别人的站,现在被别人黑了、哎,有句话说的好“出来混,早晚要还的”,呵呵、可能是DJ小向以前坏事做多了吧。我不怪黑我网站的这位朋友、只怪小向自己不注意、ZBLOG个人感觉还是没有什么漏动的、就算有漏这位朋友不知道怎么下手、除非“暗网、饭客、Hake58、黑鹰”里面一些牛人,我相信他们有这个技术,同时让他别人黑小弟这小站,我想应该没可能的! 虽然小向1年前就没有干这行了、但是还是很崇拜这些牛人的、就像现在在做SF那个牛人!话不多说、接下来分享下小向清木马的过程!
先展示下小向这次中马过程、包括中了什么马:
今天早上上班后不少朋友包消息我、说我的网站打开速度慢、半天打不开/自己打开试了下,还真是很慢、但只是慢还是可以打开、第一反应、靠!新网那垃圾DNS又出问题了(我是新网的域名)、结果ping了下网站域名、正常!
在用网络测试:http://www.webkaka.com/ 全部超时、后来才知道网站出问题了!!
打开网站看了半天、没看出原因来、后来点击内页才知道整个网站只有首页卡、内页正常没受影响.Q空间商,空间商给出的答应是在“本地”打开都慢,这行没有办法了、知道是程序出来问题、小向自己对ASP又不杂了解,只知道改改! 反复看网站代码、终于找出网站那里出问题了! 网站被人黑了、还不是挂了黑链直接把我整站做了采集、这个采集不是那种远程采集而是缓荐采集、而且手段很高明。
因为是ZBLOG、他直接在我根目录default.asp文件中加了一行很隐藏的代码
直接调用TOP.asp文章 他这里做了两层调用、其它调用后代码中分两种语言:UTF与gb2312
前面三个是这个采集程序文件, 后面那两个是他这次上传的木马。
共中两个马里面有一个是锁权限的、也就是说如果用这个马锁了主页或目录、那么就算你用FTP改权限都不行、只有联系空间商才在服务器上面才可以帮你解决权限问题!这个马里面这个功能很狠、因为当他自己锁了权限后、连自己也不可以解除、也就是说当锁死后、就只有空间商可以解除、其实他这里就是把所有用户的"R,W,X"权限会部删除!
哎、网站马是被清了、这次给小向一个教训! 小向在买空间的时候、那个FTP密码是654321 今天一看还是那个密码! 哎、设置个这样的密码不被FTP扫描工具扫到才怪! 小向在这提醒大家、以后买玩空间后一定要改FTP密码、因为很多密码都是默认的、要不就是888888、要不就是123456 等、万网这点做的不错、他们的FTP密码是用CS随机生成的、我手里有几个客户空间用了几年、还是当时默认的密码、还有一点要提示大家、现在用CMS人越来越多了、CMS系统也有很多是在用默认密码、反正后台地址最好不要用admin 这样的帐号!!