我的一个dede的系统今天上不了,打开后老是弹出窗口广告,查看源文件,发现顶部多了一个<iframe>,原来被挂马了。按照一般方法是去将aspx源文件中把这个iframe删掉,但结果发现所有的文件中都没有这个iframe,而且更奇怪的是,我远程连接到系统所在的服务器,在服务器里面的IE6中打开,却一切正常,没有被挂马。但在我公司其他同事的电脑访问,第一次没有问题,关闭浏览器后再访问一次,就出现挂马的症状了。(但服务器的IE浏览无论访问多少次都没有问题)。
这个挂马方式不是将脚本或者代码直接植入文件中的,而是在我们访问的时候,服务器返回响应数据的时候被植入了这个iframe。也就是说系统源码没有问题,问题出在我们请求和服务器响应的环节。这个iframe是在客户端页面的最顶层的,也就是<html>标记的上面(不是包含在<html></html>标记里面),这也可以说明是动态被response了这个iframe。
请高手赐教一下解决方法。谢谢。小弟只有这么多分了,求指点
这个挂马方式不是将脚本或者代码直接植入文件中的,而是在我们访问的时候,服务器返回响应数据的时候被植入了这个iframe。也就是说系统源码没有问题,问题出在我们请求和服务器响应的环节。这个iframe是在客户端页面的最顶层的,也就是<html>标记的上面(不是包含在<html></html>标记里面),这也可以说明是动态被response了这个iframe。
请高手赐教一下解决方法。谢谢。小弟只有这么多分了,求指点
如是的话 :查看你的公用的js文件,最大的可能是jquery文件被写入了代码,我的dede网站就是公用的js文件老被写入一些js文件,郁闷的很啊
那机房中arp了,让机房管理检查一下,你上去绑定一下网关的网卡地址. 我就是这样搞的,然后就好了~~
/*从两个方面找
1、服务器端程序里找
2、JS里找,js找里注意两个可能
一个可能是他引用了远程.js文件,通过远程js生成的
一个就是通过本地js代码直接生成的
*/
然后直接进去删掉,全站再搜一下那句话差不多了
如果还搞不定 就是数据库被注入了