被劫持网站:http://www.dwmly.com/

症状:

1、点开任意链接:http://www.dwmly.com/Article/ShowArticle.asp?201907231711235925.html在域名后均会自动添加类似201907231711235925.html的链接

2、用浏览器打开正常,没有找到被傲盾检测的异常关键词,但是有时打开时不时会出现。

3、页面源码内没有找到篡改。

打开页面都正常,D盾扫描未发现异常文件。

1.png

傲盾监测到非法字符串

2.png

借助火狐浏览器插件排查:User-Agent Switcher

设置插件User-Agent标识

常见蜘蛛爬虫:

百度蜘蛛爬虫UA:
PC端:Mozilla/5.0 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)
移动端:Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13B143 Safari/601.1 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)
图片:“Baiduspider-image+(+http://www.baidu.com/search/spider.htm)”
谷歌蜘蛛爬虫UA:“Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”
360蜘蛛爬虫UA:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0);
搜狗蜘蛛爬虫UA:“Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)”
必应蜘蛛爬虫UA:“Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)”
soso蜘蛛爬虫UA:“Sosospider+(+http://help.soso.com/webspider.htm)”

我这里是设置的谷歌蜘蛛UA

Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

3.png

再次打开网站任意链接发现异常。

4.png

http://www.dwmly.com/Article/ShowArticle.asp?ArticleID=66057

5.png

右键查看源码有异常链接

6.png

其中一个处理方法利用备份文件对比:

用到工具:UltraCompare

对比发现:Include/PowerEasy.Common.All.asp与之前文件存在差异

7.png

其中340行有异常代码

8.png

Array(数字,)为ASCII加密代码

104,116,116,112,58,47,47,98,50,46,99,109,100,53,46,99,111,47,97,115,112,46,116,120,116

解密可以得出网址http://b2.cmd5.co/asp.txt

删除341-345行内容再测试可以确认已经正常

处理后在安全狗设置禁止写入修改asp等格式文件,设置完写入一个文件测试是否生效

9.png

在后两天再注意观察是否有其它异常及再次出现。