侧边栏壁纸
  • 累计撰写 86 篇文章
  • 累计创建 60 个标签
  • 累计收到 2 条评论

目 录CONTENT

文章目录

记一次 web 木马查杀 帝国cms

修仙大佬
2022-08-29 / 0 评论 / 0 点赞 / 47 阅读 / 345 字 / 正在检测是否收录...

问题表现:帝国CMS,症状手机访问首页跳转到体彩网站。

问题浅析

考虑两种可能吧。

  1. 网站源码修改
  2. 域名劫持

查看网站源码

发现网站多了m.html 文件

image-1661780367549

打开查看源代码,发现TDK加密的

image-1661781204578

这里就不考虑解密了,直接预览看是什么内容

image-1661781268440

果然是这个,考虑到此文件是静态的。那么用云查杀系统查一下

image-1661781549647

cache 木马类型
e:\下载\hwskill\cache\x\htdocs\skin\ecms251\js\all.php [木马]php木马
e:\下载\hwskill\cache\x\htdocs\huandeng\2020-08-22\1.jpg [木马]图片变种木马-33
e:\下载\hwskill\cache\x\htdocs\e\data\tmp\indexpage1.php [木马]php木马
e:\下载\hwskill\cache\x\htdocs\e\admin\ebak\bdata\adm819811380_db_202208291902115xlogx\phome_enewstempbak_3.php [木马]php木马
e:\下载\hwskill\cache\x\htdocs\e\admin\ebak\bdata\adm819811380_db_202208291902115xlogx\phome_enewsindexpage_1.php [木马]php木马

木马截图

image-1661782944490
image-1661782998895

处理文件

直接删除,注意网站备份

具体根源

这还需要观察一下,后续再加

查杀推荐工具

  1. D盾 https://www.d99net.net/

image-1661830475226

  1. 护卫神云查杀系统 https://www.hws.com/soft/kill/

image-1661830530934

重要提示

不必要的端口全部关掉,22,21,3306 什么的。此问题查看ftp登录日志,发现端口被扫,用的话尽量用sftp协议

0

评论区