今天新建的网页被人注入网页病毒,并在wwwroot根目录下留下后门,其注入破坏了我的asp后缀的access数据库,用了多种修复软件均不能恢复,出奇的愤怒,觉得应该把其ip和留在网站的木马公布出来,以促使各杀毒软件商提升杀毒能力。
通过查询iislog发现此骇客每天均通过网页后门登陆我的网站,故未有在我的前台itsun的统计中留下痕迹。此人的ip地址是221.11.4.114(陕西省西安市 网通),虽然知道其可能只是肉鸡,但是还是决定公布出来。其留下的网页木马为admin_akk.asp ,密码为weihaer001,后门取名为“人不狠 站不稳”。
我用了多种杀毒软件(瑞星、卡巴司基个人版、norton企业版9.0、麦咖啡8.0i)做了多次查杀,没有一个杀毒软件提示病毒或者木马(病毒库均更新到2007年6月13日)。为了防止被各杀毒软件查到,其在代码中添加了大量的特殊字符,以避开特征码搜索。
不知道此木马是否会将密码和网址发给其他人,感觉好像会这么做。有的地方看不明白。
完整下载地址为:http://www.zgpeople.cn/admin_akk.rar
摘录其代码如下:
<%@ LANGUAGE = VBScript.Encode %>
<%
Server.ScriptTimeout=999999999
Response.Buffer =true
On Error Resume Next
UserPass="weihaer001" '密码
mName="人不狠 站不稳" '后门名字