首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

网站被跳转到恶意博彩网的木马查杀过程

网站在百度里的收录增加许多,本来以为是更新的文章导致的,可是仔细一想也没那么多的收录呀,site:网站,点击到十页以后竟然发现了问题的关键,百度收录了一大堆我们网站没有的URL链接,复制那个我们域名的链接...,提示不存在,从百度收录点进去跳转到BC网站。...通过服务器的SINESAFE木马查杀工具,查杀出多个变形的webshell,以及隐藏属性无法删除的木马文件,本地扫描两个上传文件,火绒均报毒。 我这才明白过来,原来是我网站被黑了。...赶紧打开服务器里的各个站点,下载网站程序代码到本地,然后挨个对每一个代码进行查看,查看是不是网站被黑客植入了木马后门,果不其然在每个网站根目录里的conn.php发现了黑客插入的恶意代码: functiongo_bots_url...=-1){init_flag="apk"; 去除掉恶意代码后,网站从百度搜索点击进来的也正常显示了,真是太无耻了,在服务器中查看隐藏属性的文件普通肉眼是看不到的,需要用专门的SINESAFE木马查杀工具才能看到

1.2K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    利用驱动人生升级通道传播的木马手工查杀

    一、 背景介绍 驱动人生木马在1月24日的基础上再次更新,将攻击组件安装为计划任务、服务并启动。本次手工查杀主要针对该木马。...相关文章:https://www.freebuf.com/column/195250.html 最近在应急过程中,某单位电脑感染了更新后的驱动人生木马,由于客观原因,不能安装杀毒软件进行查杀,便进行手工杀毒...,整个过程真心感觉该病毒具有“春风吹又生”的特质,于是将查杀过程记录下来,希望能给小伙伴们带来帮助。...运行处的内容为: C:\WINDOWS\system32\cmd.exe/c C:\WINDOWS\system32\wmiex.exe 根据介绍该木马病毒的技术文章,Wmiex.exe为异常应用程序。...三、 总结 本次手工查杀病毒过程如下: 1、使用TCPView查看异常外连行为对应的PID. 2、在Process Exploer中,找到PID对应的进程程序所在位置并关闭该进程。

    1.9K10

    网站后门木马怎么清理

    收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况...(也叫webshell) 网站后门,是植入到网站目录下以及服务器路径里的一个网站木马,主要利用网站代码的脚本语言来进行后门的运行,像asp,aspx,php,jsp语言的脚本文件格式,都是可以在网站里以后门的运行...很多强大的webshell,加密免杀性较好,很多安全软件查杀不出来的,有些可以过WAF网站防火墙的追查,利用网站漏洞上传后门的时候,可以绕过并直接上传到网站目录下,服务器里的杀毒软件根本没有察觉。...阿里云的后台也会显示出网站木马的路径,可以根据阿里云后台的显示进行删除与隔离,但是网站后门是如何被上传的,这个要搞清楚原因,一般是网站存在漏洞,以及服务器安全没有做好导致的被上传的,如果网站漏洞没有修复好...,还是会继续被上传后门的,网站的漏洞修复,可以对比程序系统的版本进行升级,也可以找程序员进行修复,如果是你自己写的网站熟悉还好,不是自己写的,建议找专业的网站安全公司来处理解决网站后门的问题,像Sine

    2.5K20

    一个Linux平台的门罗币挖矿木马查杀与分析

    通过分析,定性为是一起针对“门罗币”的挖矿木马入侵事件。本文记录处理该事件的关键过程以及对该挖矿木马核心代码进行的分析,方便做事件响应的同行们碰到同家族类型木马后可以快速查杀,定性威胁事件。...0x01 木马行为与查杀过程 主要行为 木马以r88.sh作为downloader首先控制服务器,通过判断当前账户的权限是否为root来进行下一步的操作,若为root则在目录/var/spool/cron...木马查杀 1)尝试杀掉bashd与bashe进程以及root.sh/rootv2.sh/lower.sh/lowerv2.sh与r88.sh这些shell进程 2)清除掉/tmp目录下木马释放的文件:/...tmp/config.json等 3)清除3个位置的定时任务:/var/spool/cron/root、/var/spool/cron/crontabs/root以及/etc/cron.d 对应的自动查杀脚本如下...该项目在:https://github.com/xmrig/xmrig 0x03 总结 该挖矿木马并没有使用很多高级的防查杀技术,也没有广泛传播的蠕虫属性,仅仅使用定时任务来实现简单的进程保护,通过无差别攻击进行

    2.5K40

    免杀攻防之Webshell免杀研究

    ~ 查杀软件 D盾 D盾是一个专门为IIS设计的主动防御的安全性保护软件,它采用以内外防护的方式防止服务器和网站被人入侵,它秉持在正常运行各类网站的情况下,越少的功能,服务器就越安全的理念而设。...安全狗 安全狗是一款安全防护软件,它提供木马查杀、漏洞防御、非法请求拦截等功能,致力于保护网站和服务器的安全。...它具有实时木马程序查杀网站挂马拦截、文件篡改保护、PHP拒绝服务攻击防御、SQL防御、XSS跨站攻击防御、入侵拦截防护、远程桌面安全保护等特性。...免杀基础 免杀需求 因为设计的木马的最终目的在发现目标网站有上传漏洞时可以将木马上传到目标服务器上并且可以远程访问实现远程控制,然而一些网站都会有安全狗、D盾、安骑士、护卫神、云锁等防护软件可以对一些Webshell...免杀技巧 木马程序可以使用多种编程语言来设计,不同的编程语言有不同特性以及提供的系统函数,所以在实现免杀时可以首先考虑灵活运用语言的特性来实现免杀,其次可以根据查杀软件的查杀规则来重构木马程序,躲避木马查杀工具的查杀

    51210

    Webshell免杀研究

    ~ 查杀软件 D盾 D盾是一个专门为IIS设计的主动防御的安全性保护软件,它采用以内外防护的方式防止服务器和网站被人入侵,它秉持在正常运行各类网站的情况下,越少的功能,服务器就越安全的理念而设。...安全狗 安全狗是一款安全防护软件,它提供木马查杀、漏洞防御、非法请求拦截等功能,致力于保护网站和服务器的安全。...它具有实时木马程序查杀网站挂马拦截、文件篡改保护、PHP拒绝服务攻击防御、SQL防御、XSS跨站攻击防御、入侵拦截防护、远程桌面安全保护等特性。 ?...免杀基础 免杀需求 因为设计的木马的最终目的在发现目标网站有上传漏洞时可以将木马上传到目标服务器上并且可以远程访问实现远程控制,然而一些网站都会有安全狗、D盾、安骑士、护卫神、云锁等防护软件可以对一些Webshell...免杀技巧 木马程序可以使用多种编程语言来设计,不同的编程语言有不同特性以及提供的系统函数,所以在实现免杀时可以首先考虑灵活运用语言的特性来实现免杀,其次可以根据查杀软件的查杀规则来重构木马程序,躲避木马查杀工具的查杀

    3.7K30

    网站漏洞修复对于网站清除木马的解决办法

    call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();' 有些人可能会问了,既然都可以phpinfo,查询目录文件,可不可以getshell写网站木马文件到网站里呢...答案是可以的,我们测试的时候是以一句话木马代码的写入到safe.php文件里。 http://127.0.0.1/anquan/index.php?...>%27%20>%20safe.php 关于这次thinkphp的漏洞利用以及分析到此就结束了,该漏洞属于高危漏洞,危害严重性较大,很多升级更新补丁的网站都会受到攻击,甚至有些网站会被挂马,那么该如何修复...替换之前的正规则表达式即可,还需要对网站的目录进行权限部署,防止生成php文件,对网站上的漏洞进行修复,或者是对网站安全防护参数进行重新设置,使他符合当时的网站环境。...如果不懂如何修复网站漏洞,也可以找专业的网站安全公司来处理,国内如Sinesafe和绿盟、启明星辰等安全公司比较专业.

    1K30

    织梦网站中马后怎样查找木马

    织梦网站挂马的风险很大,以往挂马后都是用备份替换。可是我替换之后,第二天又出了好多多余的木马文件,第三天木马文件的占容量又变大了,于是我就删除了,可删除之后,木马文件又出来了。...工具/原料 挂马网站日志 服务器与FTP 方法/步骤 1 网站挂马后,首先看网站日志,可以拿挂马前一周或者一个月甚至两个月前的日志来进行分析。我们打开网站日志,找到可疑的请求与多出来的文件。...2 打开网站根目录,我们会看到命名为lion.php的文件,打开这个PHP文件,我们会看到黑客留下的前端代码。既然是黑客留下的,删除了吧。 继续顺藤摸瓜,一点点往下走。

    98040

    【蓝队福利】D-eyes木马查杀与微步的一次巧妙结合

    基本介绍 D-Eyes是绿盟科技的一款检测与响应工具,具备勒索挖矿病毒及Webshell等恶意样本排查检测,辅助安全工程师应急响应时排查入侵痕迹,定位恶意样本,而在使用过程中我们可以将它与微步的查杀规则进行结合...,相当于将微步搬移到本地进行查杀操作,这对于需要隔离进行排查的场景来说非常非常有帮助 工具安装 项目地址:https://github.com/m-sec-org/d-eyes 扫描规则库:https:...通过执行以下命令获取计划任务信息: D-Eyes.exe task 自启动类 通过执行以下命令扫描检测自启动项: D-Eyes.exe autoruns 文末小结 本篇文章我们主要介绍了如何通过使用D-eyes进行木马查杀

    20210

    最新网站被挂马被跳转解决办法

    最近收到一位客户的反馈,告知网站又被挂马,(织梦程序真让人头疼总是被挂马,dedecms经常是被挂马真晕了是的~)相信站长们都有遇到过网站被挂马或代码恶意植入的问题。...网站被挂马收录的一些页面快照 ? 点击几条收录均为这些动态的URL路径 ? 网站木马路径 分析得出网站中被植入了一些PHP网页木马,大量的生成调用动态的垃圾页面。接下来,连接FTP进行删除清理操作。...2,通过FTP目录排查恶意网马 通过FTP工具登录到网站的FTP根目录,分析查找到这些植入的PHP文档(一般情况下很容易分析出)或者请网站的技术人员帮助分析查找。 如图: ?...再详细检查下其他目录的修改时间以及可疑文件,如果不确定木马的话 建议找专业做安全的Sine安全来处理。 3,全站查杀网站木马清除木马后门 为了彻底清除被植入的恶意网马,建议把网站源码打包进行病毒查杀。...用sinesafe木马检测工具进行全站的查杀与扫描。

    3.1K20

    最新网站被挂马被跳转解决办法

    最近收到一位客户的反馈,告知网站又被挂马,(织梦程序真让人头疼总是被挂马,dedecms经常是被挂马真晕了是的~)相信站长们都有遇到过网站被挂马或代码恶意植入的问题。...如图: 网站被挂马收录的一些页面快照 点击几条收录均为这些动态的URL路径 网站木马路径 分析得出网站中被植入了一些PHP网页木马,大量的生成调用动态的垃圾页面。...2,通过FTP目录排查恶意网马 通过FTP工具登录到网站的FTP根目录,分析查找到这些植入的PHP文档(一般情况下很容易分析出)或者请网站的技术人员帮助分析查找。...再详细检查下其他目录的修改时间以及可疑文件,如果不确定木马的话 建议找专业做安全的Sine安全来处理。 3,全站查杀网站木马清除木马后门 为了彻底清除被植入的恶意网马,建议把网站源码打包进行病毒查杀。...用sinesafe木马检测工具进行全站的查杀与扫描。 无门槛领取总价值高达2860元代金券 云服务器3折活动 腾讯云服务器自行选配

    3.3K10

    网站漏洞测试 关于webshell木马后门检测

    前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目...,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,IOS端都采用的JSP+oracle数据库架构开发,前端使用VUE,服务器是linux centos系统.下面我们将渗透测试过程里...的调用方式,由此可以导致langup值可以伪造,追踪溯源看到该值是对应的WEB前端用户的文件上传功能,在用户文件上传这里,并没有做安全效验与安全白名单拦截机制,导致可以重命名,直接将.jsp的脚本文件上传到网站的根目录下...,在这之前客户的网站肯定被上传了webshell网站木马文件,随即我们对客户的网站源代码进行全面的人工安全检测与分析,对一句话木马特制eval,加密,包括文件上传的时间点,进行检查,发现在网站的JS目录下存在...indax.jsp,浏览器里打开访问,是一个JSP的脚本木马,可以对网站进行篡改,下载代码,新建文件,等网站管理员的操作,同理APP端也是存在同样的漏洞.调用的文件上传功能接口是一样.具体的webshell

    3.2K40

    ecshop全系列版本网站漏洞修复 清理网站木马后门

    ,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网站ftp的权限,该漏洞POC已公开,使用简单,目前很多商城网站都被攻击,危害较大,针对于此我们SINE安全对该ECSHOP...漏洞的详情以及如何修复网站的漏洞,及如何部署网站安全等方面进行详细的解读。...数据库里的内容并写入数据到网站配置文件当中,或者可以让数据库远程下载文件到网站目录当中去。 ​...此referer里的内容就是要网站远程下载一个脚本大马,下载成功后会直接命名为SINE.php,攻击者打开该文件就可以执行对网站的读写上传下载等操作,甚至会直接入侵服务器,拿到服务器的管理员权限。...,或者是将网站的user.php改名,停止用户管理中心的登录,或者找专业的网站安全公司去修复漏洞补丁,做好网站安全检测与部署。

    2.6K10

    攻防 | 红队钓鱼技术剖析与防范

    社交平台钓鱼是以社交网站或软件作为平台,通过发送病毒链接或欺诈消息打开链接后下载木马,窃取用户机密信息。...原理是将木马文件分片成细小程序段后使用杀软进行查杀,被查杀的那个就是特征码所在的区段,对被查杀的区段再进行细分直至不报毒。...Myccl是定位特征码位置的工具,打开myccl载入木马,使用杀软进行查杀,被查杀的那个就是特征码所在的区段,重复此操作直至杀软不报毒。...以某免杀平台处理过的cs载荷为例,使用杀软查杀发现该免杀已失效,样本被查杀。使用restorator将正常文件的资源文件全部复制给不免杀的木马start.exe。...8.2 通过法律纠纷钓鱼 前期对目标单位进行信息收集,发现目标单位存在买卖合同纠纷,利用企业信息查询网站获取目标单位邮箱地址,将木马通过加密附件的形式投递到公司邮箱,成功上线目标单位邮箱管理员主机。

    87510

    木马免杀方式_木马入侵的常见方法

    前言 免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。...apache服务 2.2、把生成的weixin.exe文件放在/var/www/html文件夹下 2.3、在靶机下访问192.168.111.132/weinxin.exe,已经下载 2.4、发现被AV查杀...如果在实战中,直接投递裸奔马比较容易引起对方运维人员的警觉,这种方式也比较冒险,所以在投递之前,要测试制作的木马是否会引起相关AV的查杀,比如在在线多引擎病毒识别工具中去测试 2.5、这里po一个在线杀毒查杀网站...,virustotal是一个提供免费的可疑文件分析服务的网站,它与传统杀毒软件的不同之处是它通过多种反病毒引擎扫描文件。...(也有对裸奔马进行shikata_ga_nai编码饶AV的方法,但是shikata_ga_nai编码技术多态,每次生成的攻击载荷文件都不一样,有时生成的文件会被查杀,有时不会,所以结合以上思路,生成一个捆绑木马

    1.8K40
    领券