aspcms源码怎么用（ASPCMS系统挂马修复紧急预案）

这几天ASPCMS圈子可以说是狼嗥声不断；可不是因为对面母狗的呼唤，而是隔江对岸的黑手，对所有的ASPCMS网站虎视眈眈，导致大批量的ASPCMS网站在短暂的时间里面都被挂马；

而这批被挂马的网站里面，据谍豹云销的观察发现，并非只有ASPCMS这个程序所建设的网站存在被挂马的现象，其它ASP网站均存在此类问题；

被挂马网站对象

受害群体：个人站长、中小型企业、政府网站

举例：

个人站长：www.yunxiaosoft.com

中小型企业：www.bailongmm.com

政府网站：www.szhd.gov.cn

通过搜索引擎（不局限于百度、360、SOSO、SOGOU……）登陆进去被挂马网站时候，则会自动跳转至目标网站，因为目标网站域名比较多，在这里，我们截取了同一个网站不同的LOGO，不同的域名；

aspcms源码怎么用（ASPCMS系统挂马修复紧急预案）(1)

aspcms源码怎么用（ASPCMS系统挂马修复紧急预案）(2)

以上网站本人2018年03月08日曾向【12377举报网站】举报过，但是至今无任何形式的回访与回复，当前光明正大、顶风作案的网站依旧我行我素；

当我们发现这类网站之后，表面上看是在网站主页index.asp或者index.php里面挂马的，但真正当你分析后，你会发现，当前木马并没有真正意义上修改你的主页文件，相反，他是在你主页文件页的基础上，生成了一份，然后挂入了自己的目标代码，并将名称命名为index.html；

注：这个地方有一个常识，就是为什么命名为index.html而不是其它名称，玩过服务器或本地搭建过运行环境的，都知道有一个参数叫：网站文件访问首选顺序，而这个顺序里面默认index.html是第一优选顺序，而通过这个顺序里面默认是有以下几个后缀：

index.html、index.htm、default.html、default.asp、index.asp、index.php、default.php……

当网站主页文件为index.asp时候，如果用户直接访问域名，则服务器会优先在网站根目录下按顺序遍历各文件，如果发现有index.html则先访问此后缀文件，如果没有，则继续直到index.asp，如果整个都遍历完了，都没发现，则返回错误页面；

【内容来源于：https://www.diebaosoft.com/】，未经授权，谢绝转载

连接FTP，找到网站根目录下的index.html，用NOTEPAD 打开，发现在第一屏发现如下代码：

aspcms源码怎么用（ASPCMS系统挂马修复紧急预案）(3)

因为这些代码都是加密的，所以无法直接看清内在涵义；不过我们拥有CHROME浏览器的前端分析神器：审查元素

通过审查元素我们发现以下代码：

aspcms源码怎么用（ASPCMS系统挂马修复紧急预案）(4)

从上图我们就可非常详细的看到那张加密后的一整串代码被编译后的本来面目；看到这个了后，是不是后背一凉；

继续分析找到以下一段关键性代码：

打开上方这个JS后，我们发现完整代码如下：

<script language="Javascript">
var s=document.referrer
if(s.indexOf("baidu")>0 || s.indexOf("sogou")>0 || s.indexOf("soso")>0 ||s.indexOf("sm")>0
||s.indexOf("uc")>0 ||s.indexOf("bing")>0 ||s.indexOf("yahoo")>0 ||s.indexOf("so")>0 )
location.href="https://www.域名替换.com/";
</script>

也就是这一段JS来判断来路并负责跳转；不难看到包括的搜索渠道来源还是蛮全的；连UC、神马这种都加进来了；

如果有朋友想研究的可以直接下载代码：

aspcms源码怎么用（ASPCMS系统挂马修复紧急预案）(5)