被劫持网站:http://www.dwmly.com/
症状:
1、点开任意链接:http://www.dwmly.com/Article/ShowArticle.asp?201907231711235925.html在域名后均会自动添加类似201907231711235925.html的链接
2、用浏览器打开正常,没有找到被傲盾检测的异常关键词,但是有时打开时不时会出现。
3、页面源码内没有找到篡改。
打开页面都正常,D盾扫描未发现异常文件。
傲盾监测到非法字符串
借助火狐浏览器插件排查:User-Agent Switcher
设置插件User-Agent标识
常见蜘蛛爬虫:
百度蜘蛛爬虫UA:
PC端:Mozilla/5.0 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)
移动端:Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13B143 Safari/601.1 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)
图片:“Baiduspider-image+(+http://www.baidu.com/search/spider.htm)”
谷歌蜘蛛爬虫UA:“Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”
360蜘蛛爬虫UA:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0);
搜狗蜘蛛爬虫UA:“Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)”
必应蜘蛛爬虫UA:“Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)”
soso蜘蛛爬虫UA:“Sosospider+(+http://help.soso.com/webspider.htm)”
我这里是设置的谷歌蜘蛛UA
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
再次打开网站任意链接发现异常。
http://www.dwmly.com/Article/ShowArticle.asp?ArticleID=66057
右键查看源码有异常链接
其中一个处理方法利用备份文件对比:
用到工具:UltraCompare
对比发现:Include/PowerEasy.Common.All.asp与之前文件存在差异
其中340行有异常代码
Array(数字,)为ASCII加密代码
104,116,116,112,58,47,47,98,50,46,99,109,100,53,46,99,111,47,97,115,112,46,116,120,116
解密可以得出网址http://b2.cmd5.co/asp.txt
删除341-345行内容再测试可以确认已经正常
处理后在安全狗设置禁止写入修改asp等格式文件,设置完写入一个文件测试是否生效
在后两天再注意观察是否有其它异常及再次出现。