蓝雨

      下午的时候公司的一个客户截图说网站被挂马了，瑞星提示报警了。

于是赶快去服务器上看，这个程序是asp的，查看了下首页index.asp里没有挂马的代码，但是在看了调用的几个文件后最终在头部导航栏那个文件里发现了马，看样子这家伙挺有经验的。

这个asp程序有注入漏洞我是知道的，所以早就装了sql防注入插件，上后台一看果然好多入侵的啊，IP很多不过在尝试注入后都被禁止了，看来入侵站的可能有肉鸡。然后看了下程序目录很快发现一个webshell，名字较f0x.aspx  ，感觉有点不妙，赶快去服务器上把这个站的属性改下，把asp.net的解析删除掉， 然后把asa、cer的解析都删除掉，我发现这个站的后台用了eweb编辑器，而且有登陆文件。初步怀疑网站被入侵就是因为eweb编辑器登陆文件没有删除而且是默认密码的原因。于是删除掉了登陆文件。

不知道网站还有没有别的小马，所以网站暂时观察观察了。我在IIS里把这个站的404页面也改了指向到一个我自己写的话的html文件里了。

几年没玩hack了。我落后了。