srccom.com 木马排查过程报告 给中这个木马的人有一个排查的方向

2016-07-07 15:11 来源:www.chinab4c.com 作者:ecshop专家

最近发现网址网站被挂了srccom.com 木马。症状是打开网页,非常的慢,看浏览器状态了一直提示:等待srccom.com响应。但这网址不是我的网址啊,肯定是被人注入了。


若不起理他,网页放着,等个1-2分钟后才能显示出自己的主页,下级页面也是这样。

首先,查找一些页面文件里面的内容,但始终没找到srccom.com 这几个字眼

然后覆盖了目前自己用的模板,覆盖后,没效果,还是一样

然后心一黑,把整个空间内的文件,用我自己这里当时正常时候的本地备份。上传都覆盖了一次,心想,这次应该成了吧!结果花了许久时间覆盖好了,发现问题还是一样!

然后我想难道这马不是躲在空间文件内?而是躲在数据库里面?我就叫我的空间服务商,帮我还原了数据库所有ECS开头的表,空间商那里有备份,近期两个月内的数据每一天都有自动备份,然后选择了一个我觉得当时是正常的时间段还原了数据表。结果泪崩 ,结局还是一样!

然后空间服务商说,要不然实在不行,就给我再开一个空间,安个新家吧!我想,那也太累了,什么都得重新装了,我空间内不止是ECSHOP还有DZ论坛呢,太累了,

接着空间服务商说,你有没有试过用默认模板试一试?我说我什么模板文件都覆盖了,这和用不用默认模板有关系吗?他说好歹试一试吧!
然后我就去恢复到默认模板,(其实我一直觉得毒就在模板内,但从来没想去恢复默认模板,因为我觉得我文件都还原覆盖了,若毒在模板内,被覆盖后应该也没了)

没想到恢复到默认模板,一下子就打开首页了,而且也没有提示等待srccom.com响应。顿时我眼睛亮了,终于找到方向了,不会瞎折腾了!


知道木马就是和模板关联后,我删除了现用模板。(我的现用模板是bluesky这款)然后重新装了这个模板,改了文件夹名字,结果还是没用,一装上这个模板,一开首页,就提示等待srccom.com响应打不开。试了无数次还是一样,我不舍得放弃这个模板,因为这个模板是我喜欢的风格。一个模板装上,然后很多细节得改成自己喜欢的风格,其中工作量蛮大的,若放弃这个模板换别的,那又得一切从头再来的修改。太麻烦了。

知道是这个模板问题,就是不舍得放弃它,今天对论坛进行了升级,从2.7.2升到了2.7.3.升级一切顺利,升级后,又重新装入这个模板。结果还是不行。看样子我得彻底放弃这个模板了。

有没有懂行的高手给解释下为何原来好好的模板,现在不能用了,数据库也还原了,文件也还原了,没用,就像是这个模板和木马串通了一样,故意给他留了个后门。

回答:
我可以帮你去掉这个木马模板,100块就行。很简单的。

对比啊 看哪个文件被改动了啊 看日期

学习了,谢谢兄弟啊

木马模板



将整站代码下载到本地,用DW编辑器,搜索查找(选择下载到本地的 网站的文件夹)
在选择查找方式为:源代码
搜索查找:srccom.com

就会找出来的,

这个应该是JS加载的的。找到后,删除下链接即可!

同时建议楼主,不要随便下载使用模板哦!市面上确实存在很多问题的模板的!一定要慎重选择使用模板。

太缺德了,弄这么写个后门干啥啊

已经有解决方法了。就是common.js文件被植马。具体解决办法见:http://www.16css.com/ecshop/991.html