[摘要] 今天一个朋友找到我说他们的网站打不开了,让我帮忙看看啥原因?简单试了了用 chrome 和 firefox 浏览器访问都是提示该站点包含恶意软件,简单询问了一下该站点原来是使用dececms建站,所以初步怀疑是dececms的某个已知漏洞导致站点被挂马,然后被google的chrome和firefox列入了黑名单。
先看看chrome浏览器的提示:
要来了站点的ssh权限,登上去看了一下,还真是挺神奇的,几乎所有的文件的最后都被加上了一段js代码,大概内容如下:
<SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe"
grep DropFileName *.htm 匹配到二进制文件 ./templets/story_books.htm
grep一下关键字所有文件都变成了二进制文件(有需要恶意代码样本的可以联系我哟~):
本想收工改下,无奈文件太多了,一个一个文件删除要花费太长时间,于是使用了sed进行批量操作:
#删除 DropFileName = "svchost.exe" 之后的所有行
for i in `grep -r DropFileName *|awk -F\: '{print $1}'`;do ls $i;sed -i '/^DropFileName/,$d' $i;done
#删除字符串: <SCRIPT Language=VBScript><\!\-\-
for i in `grep -r "SCRIPT Language=VBScript" * | awk -F\: '{print $1}'`;do ls $i;sed -i 's/<SCRIPT Language=VBScript><!--//g' $i;done
再次grep验证下,整个发布目录已经没有了附加的js文件,顺便看了看是否有其他的可以文件,比如一句话木马文件等。
虽然暂时清理掉了可以的代码,但是网站还是提示包含恶意软件,应该是被列入了黑名单中,只能申请解封了。
于是根据firefox浏览器的提示,找到指定的链接,基本都是天朝404的站点,所以需要梯子才能正常访问,关键有个reCAPTCHA图片没梯子看不到。访问地址:https://www.stopbadware.org/review-search?url=http://some-badware-site
按照提示一步步提交即可。
(1)输入要查询的站点,发现确实再黑名单中:
(2)提交搜索
(3)提交成功
(4)发送提示邮件
另外根据chrome浏览的提示可以找到这个链接:
https://safebrowsing.google.com/safebrowsing/report_error/?hl=en,提交你的域名等待就可以了。
大概也就半个小时,chrome已经放开了,站点恢复正常访问,firefox仍提示不安全,估计还要再等几个小时才能完全恢复。以上暂时告一段落,不过为啥所有文件会被注入了恶意js文件呢?
据了解这个dedecms并不是从官网下载,而且为了图方便,随便在网上找了一个模板改改就使用了,看了最原始的下载zip包,所有文件已经是包含了这个小尾巴,只是当时没有注意而已。看看网络安全是多么重要啊,要随时提高警惕,不能轻易从乱七八糟的站点下载东西,一些下载站基本没有对资源安全性的审核能力,更有甚者已经沦为了恶意软件的温床!
